Mit Hilfe der folgenden Syntax ist der Cache schnell gelöscht, der Beispielpräfix wp_ muss natürlich angepasst werden.

DELETE FROM `wp_options` WHERE `option_name` LIKE ('_transient%_feed_%')

© Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

global $wpdb;

$max = '-1'; // -1 for all
$result = '';
$sql  = "SELECT c.*, p.post_title FROM $wpdb->comments c INNER JOIN $wpdb->posts p ON (c.comment_post_id = p.ID) ";
$sql .= "WHERE comment_approved = '1' ";
$sql .= "AND comment_type not in ('trackback', 'pingback') ";
$sql .= "AND p.post_status != 'trash' ";
$sql .= "ORDER BY comment_date DESC";
if ('-1' != $max)
	$sql .= " LIMIT 0, $max";
$results = $wpdb->get_results($sql);

$templates = "\t" . '<li>%gravatar% <a href="%authorurl%">%authorname%</a> zu <a href="%posturl%#comment-%commentid%">%posttitle%</a> %commentcontent%</li>' . "\n";

foreach ($results as $row) {
	$tags = array(
		'%commentdate%', '%gravatar%', '%posttitle%',
		'%posturl%', '%authorurl%', '%authorname%',
		'%commentid%', '%commentcontent%'
	);
	$replacements = array(
		$row->comment_date, get_avatar($row->comment_author_email, '30'), $row->post_title,
		get_permalink($row->comment_post_ID), $row->comment_author_url, $row->comment_author,
		$row->comment_ID, $row->comment_content
	);
	$result .= str_replace($tags, $replacements, $templates);
}
if ($result)
	$result = '<ul>' . "\n" . $result . '</ul>' . "\n";

// output
echo $result;

Will man dies außerhalb von WordPress nutzen, dann kann man alternativ den Kommentarfeed nutzen und die Kommentare, die im Feed sind, ausgeben oder man bindet die wp-load.php der Installation ein und hat vollen Zugriff auf alle Funktionen von WordPress.

require('wp-load.php');

Viele Freude beim nutzen und Hinweise, Fehler und Erweiterungen bitte in den Kommentaren dieses Beitrags.

© Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

Zu finden ist die Klasse in /wp-includes/wp-db.php, wo auch die einzelnen Methoden dokumentiert sind. Dort sind weitere Methoden zu finden, allerdings sind die wichtigsten oft in Gebrauch und daher sind diese nur ein Teil der Klasse.

Ich zeige mal die wichtigsten und lege kleine Beispiele ab, zum Teil in unterschiedlichen Schreibweisen, um die Möglichkeiten aufzuzeigen. Es ist von größer Bedeutung mit diesen Möglichkeiten zu arbeiten und so die Sicherheit von Plugins zu gewährleisten. Sie geben ausreichend Möglichkeiten in die Hand, schaffen Sicherheit und man nutzt die Standards von WordPress, muss sich also nicht um Abhängigkeiten kümmern.

Zu folgenden vier Methoden sind im Anschluss Syntaxbeispiele hinterlegt.

• insert($table, $data, $format) — insert a row into a table via arrays.
• update($table, $data, $where, $format, $where_format) — update a row in a table via arrays.
• get_var($query, $x, $y) — retrieve a single variable from the database.
• query($query) — perform a MySQL database query with current connection
• get_results($query, $output) — retrieve SQL result set from database… one or more rows.
• escape($data) — Escapes content for insertion into the database using addslashes(), for security

Ebenso sind die kommenden Methoden interessant.

• set_prefix($prefix) — used to set table prefix for WordPress tables, can be used to override prefix at any time
• prepare($query) — safely prepares an SQL query for execution with sprintf()-like syntax.
• get_row($query, $output, $y) — retrieve a single row from the database.
• get_col($query, $x) — retrieve a single column from the database in array format.

/**
 * insert
 */
$wpdb->insert( $wpdb->posts, array( 'post_title' => $mytitle ) );

$wpdb->insert( $wpdb->options, array(
			'option_name',
			'new_option_key',
			'option_value' => 'New Option Value',
			'autoload' => 'yes' )
			);

/**
 * update
 */
$wpdb->update( $wpdb->posts, array( 'post_title' => $mytitle ),
			array( 'ID' => $myid )
			);

$wpdb->update( $wpdb->options,
			array( 'option_value' => 'New Option Value' ),
			array( 'option_name' => 'new_option_value' )
			);

/**
 * get_var
 */
$post_id = $wpdb->get_var(
			$wpdb->prepare( "SELECT post_id FROM
					$wpdb->postmeta WHERE
					post_id = %d AND
					meta_key = 'enclosure' AND
					meta_value LIKE (%s)", $post_ID, $url . '&' )
			);

$content = $wpdb->get_var(
			$wpdb->prepare("SELECT post_content FROM " .
					"$wpdb->posts WHERE " .
					"post_title = %s AND " .
					"ID = %d", $title, $id )
		);

/**
 * query
 */
$wpdb->query( "DELETE FROM $wpdb->options WHERE option_name = '$name'" );

$wpdb->query( "UPDATE $wpdb->posts SET post_title = '$mytitle' WHERE ID = $myid" );

/**
 * query and escape
 */
$mytitle = $wpdb->escape( $mytitle );
$myid    = absint( $myid );
$wpdb->query( "UPDATE $wpdb->posts SET post_title = '$mytitle' WHERE ID = $myid" );

/**
 * get_results
 */
$type = $wpdb->get_results( "SELECT post_type FROM " .
				"$wpdb->posts WHERE ID=$id" );

© Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

Das Tool Adminer ist die Grundlage meines Plugins und holt das Tool direkt in das WordPress Backend. Adminer hat auch ohne mein Plugin und ohne WordPress sehr viele Vorteile und wer einfach, schnell und unkompliziert auf die Datenbank zugreifen will, der sollte sich das Tool anschauen - Adminer. Alternativ lohnt ein Blick in den Artikel bei Dr.Web, wo Adminer ausführlich erklärt wird.

Nun aber zum Plugin, welches den Adminer in WordPress integriert.

Was macht das Plugin

Das Plugin erleichtert den Zugriff auf die Datenbank aus WordPress heraus. Es ist entstanden, weil ich nicht selten helfen soll und die Leute keinen Zugang haben, ihn nicht wissen oder auch kein Tool auf dem Webspace für den Datenbankzugang haben. Damit bleibt mir oft nur das Einrichten eines Tools und das wollte ich vereinfachen. Mit diesem Plugin geht das einfach; es ist aber ebenso mächtig wie jedes andere Tool, welches alle Zugriffe auf die Datenbank zulässt - daher Vorsicht im Umgang mit dem Plugin. Das Anlegen einer Sicherung im Vorfeld sollte selbstverständlich sein.

Der Zugang auf Adminer wird über das Plugin gelöst, so dass man keine Zugangsdaten benötigt. Ebenfalls kann das Plugin direkt aus dem Admin-Bereich von WordPress installiert werden, so dass, je nach Webspace, nicht mal ein FTP-Zugang erforderlich ist.

Adminer lässt den Export und Import von großen Datenmengen zu, damit kann es sehr einfach sein, die Datenbank einzuspielen. Ebenfalls kann jede Art von SQL-Anweisung ausgeführt werden. Hinzu kommt, dass Adminer die SQL-Anweisung zu einer Anweisung via Mouse-Klick zurück gibt, so dass man die Anweisung dann als Syntax hat und anderweitig nutzen kann.

Adminer wurde von mir in zwei Punkten verändert, da beide Themen den Zugriff auf einen Server benötigen. Die Themen Versions-Kontrolle von Adminer und Syntax-Highlightning der SQL-Anweisung benötigen einen Zugriff auf SourceForge. Beide Punkte sind nicht relevant für das Plugin und der Zugriff ist nicht bei jedem Nutzer gern gesehen. Hinzu kommt das das Highlightning eine 100 kByte Datei benötigt, die aus meiner Sicht nicht unbedingt notwendig ist. Wer beide Funktionen unbedingt haben möchte, der muss nur die Adminer-Datei im Ordner inc des Plugins mit dem Original austauschen.

Ebenfalls habe ich ein neues Stylesheet erstellt, welches die Optik von Adminer dem Design von WordPress 2.8 anpasst. Somit ist die Arbeit in gleicher Optik gewährleistet. Das Design kann auch ohne Plugin genutzt werden und steht auf der Site von Adminer zum Download.

Voraussetzungen

Um das Plugin zu nutzen, ist WordPress Version 2.7 das Minimum, darunter habe ich keine Tests unternommen. Grundvoraussetzung ist eine saubere Installation, wo die Datenbankzugänge zu den Standard-Konstanten gepflegt sind. Das wird sicher auf die meisten Nutzer zutreffen, ist aber leider nicht immer so.

Installation

Es werden keinerlei Daten in der Datenbank abgelegt und es müssen auch keine Einstellungen vorgenommen werden. Daher ist die Installation auch denkbar einfach: in das Pluginverzeichnis kopieren oder mit Hilfe der automatischen Installation aus dem Backend des Blog installieren lassen und im Anschluss aktivieren.
Im Anschluss steht im Bereich Werkzeuge (Tools) ein neuer Unterpunkt Adminer bereit, der euch den Zugriff ermöglicht. Auf der Site zu Adminer muss dann lediglich der Button Start Adminer genutzt werden und Adminer wird in voller Bildschirmgröße in eine Thickbox geladen, so dass man ausreichend Raum zu arbeiten hat.

Download:

Ist die Arbeit nicht 1 Euro wert?
Jede Spende wird dankbar angenommen und ermöglicht das weitere Arbeiten an freier Software.
Möchtest du mehr oder anders spenden, so besuche meine Wunschliste.
Download als zip-Datei: downloads.wordpress.org/plugin/adminer.zip - 200 kByte

Historie

Seit geraumer Zeit bietet das WordPress Plugin Repository die Möglichkeit der Ausgabe des Changelog an und so werde ich direkt am Plugin, in der Readme, die Historie pflegen - daher bitte ich, dass ihr euch dort die Änderungen anschaut, so dass ich ein wenig hier pflegen muss: Changelog.

© Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

Zum Hintergrund: sseq-lib ist eine mächtige PHP-Security Bibliothek
Security-Themen, die sseq-lib behandelt:

• XSS (Cross Site Scripting)
• SQL-Injection
• CSRF (Cross Site Request Forgery)
• Session-Fixation
• Mail-Header-Injection
• File-Injection
• HTTP-Header-Manipulation
• Response-Splitting
• Informative error messages

Viele Informationen stehen im Projektverzeichnis bereit und ebenfalls auf das Blog von Erich Kachel.

© Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

Cross Site Scripting (XSS)

Die bekannteste und meiste genutzte Lücke im System - XSS. Wie, was und warum - dazu habe ich bereits einen Artikel im Vorfeld veröffentlicht.

Grundlegend heißt es, bösartige User hinterlegen Script im Browser des Anwenders und holen darüber benutzereigene Daten und können mit diesen Daten beispielsweise schadhaften Code injizieren. Die meisten Angriffe werden mittels JavaScript ausgeführt, daher auch die ehemalige Ablehnung von JavaScipt in einigen Bereichen. Grundlegend können aber XSS-Attacken mit jeder Script-Sprache ausgeführt werden, die der Browser unterstützt. Seit dem Thema Web 2.0 ist JavaScript in aller Munde und in vielen Anwendungen nicht mehr wegzudenken. Um so wichtiger das Wissen über die möglichen Schwachstellen und die damit verbundene Vorsorge. Gerade im AJAX-Umfeld ist XSS ein Problem.

Hierbei sehr interessant das XSS-Cheat Sheet (Auch im Download von OWASP zu finden)

Cross Site Request Forgery (CSRF)

Der Hacker greift den Client an und übernimmt die Kontrolle über den Browser. In der Regel passiert das nach dem Einloggen in eine Webappliaktion. Mit diesem Login kann der Hacker dann Anfragen an das System kreieren und nutzereigene Daten als Rückmeldung bekommen. In der Regel laufen derartige Aktione über Cookies-Sessions. Einzige Lösung ist das nicht Speichern durch den Browser von relevanten Daten.

Offene URLs

Eine ganze Reihe von Webseiten haben Anwendungen für kleine Bereiche laufen. Allerdings schützen sie die Verzeichnisse nicht und versierte User finden die URLs recht schnell und können so auf eventuell schützenswerte Daten zugreifen. Es findet also das klassische Erraten von Adressen statt, was man aber deswegen nicht als abwegig und nachlässig einstufen sollte. Prinzipiell sollte man den Anderen nicht unterschätzen, also lieber das Verzeichnis schützen und eine Zugangskontrolle implementieren.

Ausführen von

Kann die Applikation Nutzerdaten akzeptieren, dann kann prinzipiell auch schadhafter Code ausgeführt werden. Die meisten Probleme in diesem Umfeld sind mit der Sprache PHP bekannt. Anfällig ist aber jede Applikation oder Framework. Die Schwachstellen wird bezeichnet als Remote File Inclusion (RFI).

Injection-Fehler

Hierbei nutzen Hacker die Möglichkeit, dass Daten vom Anwender als Befehl oder Anfrage an einen Interpreter gesendet werden. Dabei werden die Befehle manipuliert und die Daten verändert. Man kann also jede Form von Daten für die Anwendung erstellen, lesen, ändern oder löschen. Das größte Problem in aktuellen Anwendungen sind die gelobten APIs. Diese könnten, wenn sie Lücken aufweisen dazu missbraucht werden. Klassisches Beispiel sind SQL-Injections.

Objekt-Zugriff

Unautorisierte Zugriffe via Direct Object References dienen dem Angreifer um auf Dateien, Verzeichnisse, Schlüssel oder direkt auf Datenbankeinträge zuzugreifen. Prinzipiell kann man, wenn man einen Schlüssel im System hat, auf die anderen Schlüssel schließen und verwenden. Ein klassisches Beispiel ist der Finanzmarkt: die Kontonummer des Nutzers referenziert ihn in allen Anwendungen und somit hat der Angreifer Kontonummer und kann damit weitere Daten abrufen. Eine indirekte Referenz kann helfen und macht die Zugriffe autonomer. Grundlegend sollten direkte Referenzen vermieden werden.

Fehlerbehandlung

Ausführliche und inhaltlich wertvolle Fehlerbeschreibungen eines Fehlers in der Webapplikation sind für Hacker ein Schlüssel. Mit diesen detailreichen Informationen können Bösewichte entsprechende Maßnahmen einleiten um das System für sich zu öffnen. Derartige Probleme lassen sich nur mit Hilfe von umfangreichen Tests finden. Auch dafür gibt es Tools mit entsprechenden Möglichkeiten. Außerdem gehört die Fehlerbehandlung im Live-Betrieb deaktiviert.

Zugang via Session und Kommunikation

Webapplikationen sind so gut wie immer mit einem Zugang geschützt, die Zugangsdaten gehören sicher gespeichert und der Zugang sollte immer per Protokoll SSL laufen. Ebenso speichert man Zugangsdaten nicht 1:1, sondern mit Hilfe eines Hash. Auch hier gilt es, Cookies sind nicht immer der Schlüssel zum Glück des Anwenders. Die Kommunikation zwischen verschiedenen Servern o.ä. gehört mittels Verschlüsselung oder Transport Layer Security realisiert.

Offene Datenablage

Die Datenablage ist bei relevanten Applikation schon heute in vielen Bereichen verschlüsselt. Die Daten selbst werden aber uncodiert gespeichert und die vorhandene Verschlüsselung ist oft unzureichend. Es gilt, dass möglichst starke und ausreichend getestet, besser standardisierte, Algorithmen genutzt werden. Einfache oder eigene Algorithmen entsprechen selten den nötigen Anforderungen.

© Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

Wähle mit Hilfe von phpMyAdmin deine Datenbank. Liste deine Tabellen und wähle "Alle auswählen". Nun die Tabellen analysieren, im rechten Feld wählen "Analysiere Tabelle". Daraufhin nochmal das ganze und die Tabbeln prüfen - "Prüfe Tabelle".
In beiden Fällen erhaltet ihr eine detaillierte Ergebnisliste.

Daraufhin kann die Optimierung mit dem selben Rhythmus durchgeführt werden - "Optimiere Tabelle".

Achtung:
Im Vorfeld sollte in jedem Fall eine Sicherung der Datenbank angelegt werden - mehr dazu gibt es im Artikel "Datenbank Backup mit phpMyAdmin".

© Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

Mark Cunningham stellte vor geraumer Zeit sein Plugin "Search and Replace" in einer erweiterten Version bereit. Jetzt können alle erdenklichen Einträge in der DB gesucht und ersetzt werden. Besonders bei vielen Beiträgen empfinde ich das als sehr vorteilhaft.
Deshalb habe ich das Plugin auch für alle deutschen WordPress-User übersetzt, so dass es zum deutschen Layout passt und ein wenig verständlicher ist, was man damit machen kann.

Anforderungen:

Suchen und Ersetzen arbeitet mit WordPress Version 1.5 und wurde getestet bis Version 2.9-rare.

Installation:

1. Das Paket downloaden und lokal entpacken.
2. Kopiere die Dateien, inklusive Ordner in deinen Plugin-Ordner (/wp-content/plugins).
3. Aktiviere das Plugin in der Admin-Oberfläche deines WordPress-Blogs

Anwendung:
In eurer WP-Admin-Oberfläche findet ihr nun unter Verwalten den neuen Tab Suchen & Ersetzen. Dort sind alle Funktionen nutzbar.

Dieses Plugin arbeitet mit einer Standard SQL Abfrage und verändert deine DB direkt.

Achtung:

Du kannst nichts rückgängig machen mit diesem Plugin. Wenn du dir nicht sicher bist, fertige eine Sicherung deiner DB im Vorfeld an. Ansonsten kann man nur die Funktion umgekehrt wiederholen oder direkt in der DB Änderungen vornehmen, z.B. mit phpMyAdmin.

Die Textsuche ist sensitiv und besitzt keine passende Abstimmungsbefähigung.
Du kannst folgende Einträge bearbeiten: ID von Beiträgen, Beitrag (content), Titel (titles), Auszug (excerpt), Kommentarbeiträge (comment content), Tags, User-ID, Kommentarautor (comment author) etc..
Die Funktion arbeitet stringbasierend und kann somit auch HTML-Tags ersetzen.

Download:

Ist die Arbeit nicht 1 Euro wert?
Jede Spende wird dankbar angenommen und ermöglicht das weitere Arbeiten an freier Software.
Möchtest du mehr oder anders spenden, so besuche meine Wunschliste.

Download als zip-Datei: downloads.wordpress.org/plugin/search-and-replace.zip - 90 kByte

Historie:

• Version 1.2 - Alles in deutsch
• Version 1.3 - Bugs behoben; getestet mit WP 2.0
• Version 1.5 - ersetzen auch in Kommentar-URLs, getestet unter 2.2beta
• Version 1.6 - ersetzen auch in Kommentar-E-Mail
• Version 1.7 - Mehrsprachigkeit ermöglicht, englisches Sprachfile beigelegt, Ordnerstruktur eingefügt
• Version 1.71 - french, polish translation, Rechtschreibfehler korrigiert, Sprachfiles angepasst
• Version 1.8 - Tags, Kategorien, Beschreibung ab WP-Version 2.3 durchsuchbar, wp_nonce integriert.
• Version 1.9 - wp_nonce verändert, WP 2.5 Style
• Version 2.1 - neue Übersetzungsdateien
• Version 2.0 - WP 2.5 Design, Neu: meta_data, user-id, user-login, GUID ...
• Version 2.2 - Ordnerstruktur geändert, extra languages-Ordner
• Version 2.3 - Bug gefixt in descr, neuer Datei-Name
• Version 2.4 - ID für Posts ändern, Kleine Inhaltsänderungen, Ausgabe der Änderungen
• Version 2.5 - Umstellung Code, 2.6 Anpassungen, Verbesserungen beim Bestätigungsdialog; Core in englisch, de als Sprachfile

© Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren