использует CURL для отправки и получения информации по теме wp safe?

Question

Я работаю над темой WordPress, которая включает собственный скрипт установки.Вот что происходит;

1.) Пользователи скачивают theme.zip с сайта mysite.

theme.zip НЕ содержит саму тему, он содержит скрипт установки и все необходимые файлы длясделайте установку успешной.

2.) Теперь пользователь будет загружать theme.zip на свой сервер (используя панель управления WP)

3.) В тот момент, когда он загрузил theme.zip, онзапустит скрипт установки, который требует имя пользователя и пароль, который хранится в моей базе данных sql.

// хитрый бит

Теперь вот что происходит в скрипте установки.

Как только пользователь введет свое имя пользователя и пароль, некоторые переменные (имя пользователя, пароль и уникальный идентификационный номер) будут отправлены в файл php на моем сервере (с помощью curl).Затем мой сервер изучит базу данных sql и выберет определенную строку (используя уникальный идентификатор, отправленный ранее) и проверит, верны ли данные пользователя.Если данные верны, мой сервер отправит обратно некоторые переменные (используя кодирование / декодирование JSON) со значением TRUE.как только пользовательский сервер получит значение TRUE, он продолжится.И если он получит значение FALSE, он остановится и выдаст ошибку

Как только пользователи успешно вошли в систему (мой сервер вернул TRUE), будет запущена другая функция CURL.

Эта функция отправляет уникальный идентификатор в другой php-файл на моем сервере.Затем php-файл создаст копию папки, которая находится на моем сервере, и назовет файл с уникальным идентификационным номером, чтобы дубликат папки назывался «265851654» (который содержит все содержимое тем), а затем сценарий php (включенмой сервер) сожмет эту папку в .zip.После завершения сжатия он отправит некоторую информацию (информацию о том, где только что созданный .zip находится на сервере, готовом к загрузке.) Обратно на сервер пользователей.

Затем сервер пользователей будет использоватьинформация, полученная с моего сервера, для генерации ссылки на скачивание и начала загрузки .zip-файла.По завершении загрузки будет запущена другая функция curl.эта функция будет работать так же, как только что объясненная, но вместо создания .zip, готового к загрузке, она удаляет .zip.

Теперь она также выполняет множество других задач, но это все на стороне пользователя..

Это безопасно?Поскольку эта тема будет доступна КАЖДОМУ, это означает, что они смогут видеть функции curl и весь другой исходный код, который они могут редактировать по своему усмотрению.

Если это небезопасно, не могли бы вы дать мне немногосовет, чтобы помешать этим злым людям возиться?

Спасибо!

Answer 1

Несколько вещей, которые вы должны иметь в виду:

• Убедитесь, что запрос в скрипте, вызывающем cUrl с определенными аргументами, останавливается или блокируется сервером (скажем, на 1 час), если идентификацияошибка 5 раз.
• Убедитесь, что ваш скрипт cUrl содержит также прокси-переменные, такие как ip, имя пользователя и пароль.Существует множество конфигураций, требующих их.
• Создайте файл md5sum для каждого загруженного скрипта и сохраните его на своем диске.Сравните md5sum из файла на диске с вновь созданным.Убедитесь, что следующий пользователь, запрашивающий тот же файл, загрузит уже созданный файл, а не создаст новый, так как он не будет загружать сервер.
• Попробуйте защитить ваш php-скрипт на сервере двумя разнымиидентификация (как работает имя пользователя / пароль).Злым людям будет не так просто найти путь к вашему серверу.

Я уверен, что есть много других вещей, но это все, что у меня на уме.