Ars Longa, Vita Brevis » патч

SQL Injection Vulnerability в Z-Vote 1.1

Wandering Soul — Fri, 25 Feb 2011 19:32:49 +0000

Исправление уязвимостей в плагине WordPress Z-Vote 1.1

В плагине WordPress Z-Vote 1.1 была обнаружена уязвимость, позволяющая злоумышленнику выполнять произвольные запросы к базе данных (уязвимость типа «SQL-инъекция»).

Уязвимость существует из-за неправильного использования метода wpdb::prepare() и отсутствия проверки и очистки переменной $_GET['zvote'].

Уязвимость позволяет злоумышленнику изменять запросы к базе данных, выполнять произвольные запросы, читать или изменять конфиденциальную информацию.
Вторая уязвимость (незначительная по сравнению с SQL-инъекцией) — раскрытие пути к плагину (path disclosure) при прямом доступе к файлу плагина.

Патч, исправляющий уязвимости в Z-Vote 1.1:

diff -uwdBrN z-vote.orig/zvote.php z-vote/zvote.php
--- z-vote.orig/zvote.php 2011-02-25 21:05:44.000000000 +0200
+++ z-vote/zvote.php 2011-02-25 21:10:46.531798756 +0200
@@ -9,6 +9,8 @@
License: GPL
*/

+ defined('ABSPATH') or die();
+
// --- DEFINITIONS

//define where zvote is installed on the wordpres system. In 99.9% of the case the path below is correct.
@@ -271,7 +273,7 @@
function zVote_getEntry($postid) {
global $wpdb;

- $entries = $wpdb->get_results($wpdb->prepare("SELECT * FROM " . $wpdb->prefix . "zvotedata WHERE postid = " . $postid . ""));
+ $entries = $wpdb->get_results($wpdb->prepare("SELECT * FROM " . $wpdb->prefix . "zvotedata WHERE postid = %d", $postid));

return $entries;
}
@@ -282,7 +284,7 @@
global $wpdb;

$votes = 0;
- $votes = $wpdb->get_var($wpdb->prepare("SELECT COUNT(*) FROM " . $wpdb->prefix . "zvotedata WHERE postid = " . $postid . ""));
+ $votes = $wpdb->get_var($wpdb->prepare("SELECT COUNT(*) FROM " . $wpdb->prefix . "zvotedata WHERE postid = %d", $postid));

return $votes;
}
@@ -292,7 +294,7 @@

global $wpdb;

- $votes = $wpdb->get_var($wpdb->prepare("DELETE FROM " . $wpdb->prefix . "zvotedata WHERE postid = " . $postid . ""));
+ $votes = $wpdb->get_var($wpdb->prepare("DELETE FROM " . $wpdb->prefix . "zvotedata WHERE postid = %d", $postid));

return $votes;
}
@@ -353,7 +355,7 @@
global $wpdb;

//ipcheck for now, will expand to userid-check, based on the user setting in version 1.5
- $ipcheck = $wpdb->get_var($wpdb->prepare("SELECT id FROM " . $wpdb->prefix . "zvotedata WHERE postid = " . $postid . " AND userip = \"" . $_SERVER['REMOTE_ADDR'] . "\""));
+ $ipcheck = $wpdb->get_var($wpdb->prepare("SELECT id FROM " . $wpdb->prefix . "zvotedata WHERE postid = %d AND userip = %s", $postid, $_SERVER['REMOTE_ADDR']));

$wpdb->insert( $wpdb->prefix . 'zvotedata', array( 'postid' => $postid, 'userip' => $_SERVER['REMOTE_ADDR'], 'userid' => 0, 'time' => time() ), array( '%d','%s', '%d', '%d' ) );

@@ -365,7 +367,7 @@
global $wpdb, $wp_query, $redirect_meta_key;

//ipcheck for now, will expand to userid-check, based on the user setting in version 1.5
- $ipcheck = $wpdb->get_var($wpdb->prepare("SELECT id FROM " . $wpdb->prefix . "zvotedata WHERE postid = " . $postid . " AND userip = \"" . $_SERVER['REMOTE_ADDR'] . "\""));
+ $ipcheck = $wpdb->get_var($wpdb->prepare("SELECT id FROM " . $wpdb->prefix . "zvotedata WHERE postid = %d AND userip = %d", $postid, $_SERVER['REMOTE_ADDR']));

if (!$ipcheck) {
//ok to vote, register vote
@@ -382,7 +384,7 @@
}

//send user to post
- header('Location: ' .$injectionPoint);
+ wp_redirect($injectionPoint);
exit;
} else {
//user already registered, push to entry-page and inform the user.
@@ -394,7 +396,7 @@
$injectionPoint = $post . '?zvoters=2';
}

- header('Location: ' .$injectionPoint);
+ wp_redirect($injectionPoint);
exit;
}
exit;

При использовании материалов блога наличие активной не закрытой от индексирования ссылки на источник обязательно.

Межсайтовый скриптинг в Register Plus

Vladimir — Sun, 13 Feb 2011 12:59:36 +0000

Патч, исправляющий уязвимости XSS и FPD

В плагине Register Plus 3.5.1 обнаружена уязвимость, позволяющая провести удалённому пользователю XSS-атаку.

Уязвимость связана с отсутствием экранирования специальных символов при выводе данных, полученных от пользователя, что позволяет злоумышленнику выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Судя по дате последнего изменения, плагин автором больше не поддерживается; тем не менее, пользователи не оставляют попытки использования плагина с новыми версиями WordPress.

Тем же исследователем была обнаружена уязвимость типа full path disclosure (ей подвержены очень многие плагины и сам WordPress в том числе).

Скачать патч для плагина Register Plus.

Межсайтовый скриптинг в плагине Accept Signups 0.1

Vladimir — Wed, 09 Feb 2011 04:10:34 +0000

Исправление OSVDB-70101 для плагина Accept Signups

В плагине Accept Signups 1.0 обнаружена уязвимость, позволяющая провести удалённому пользователю XSS-атаку.

Уязвимость связана с отсутствием обработки входных данных в параметре email, передаваемом файлу wp-content/plugins/accept-signups/accept-signups_submit.php, а также с отсутствием экранирования специальных символов при выводе данных в wp-content/plugins/accept-signups/accept-signups.php.

Уязвимость позволяет при помощи специально сформированного URL выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Патч для плагина Accept Signups 0.1:

diff -uwdBrN accept-signups.orig/accept-signups.php accept-signups/accept-signups.php
--- accept-signups.orig/accept-signups.php 2010-12-21 11:07:21.000000000 +0200
+++ accept-signups/accept-signups.php 2011-02-09 06:06:33.612991546 +0200
@@ -223,7 +223,7 @@
$r = $wpdb->get_results($sql, ARRAY_A);
$xml = '';
foreach($r as $k=>$v) {
- $xml .= '["email"] . '" ip="' . $v["ip"] . '" timestamp="' . $v["timestamp"] . '" />';
+ $xml .= '($v["email"]) . '" ip="' . $v["ip"] . '" timestamp="' . $v["timestamp"] . '" />';
}
$xml .= '';
file_put_contents(ABSPATH . 'wp-content/plugins/accept-signups/accept-signups.xml', $xml);
@@ -290,7 +290,7 @@
if (strpos($v1, '@')) {
$email = $v1;
}
- $html .= ' ' . $v1 . ' ';
+ $html .= ' ' . esc_html($v1) . ' ';
}
$html .= '($email) . '" id="acceptSignupsDeleteCB">';
$html .= '';
diff -uwdBrN accept-signups.orig/accept-signups_submit.php accept-signups/accept-signups_submit.php
--- accept-signups.orig/accept-signups_submit.php 2010-12-21 11:07:21.000000000 +0200
+++ accept-signups/accept-signups_submit.php 2011-02-09 06:03:04.017742924 +0200
@@ -1,6 +1,5 @@
-require_once('../../../wp-config.php');
-require_once('../../../wp-includes/wp-db.php');
+require_once('../../../wp-load.php');

if (true) {
if (isset($_GET['email'])) {
@@ -9,6 +8,16 @@
if (hasEmail($_GET['email'])) {
echo get_option('accept-signups-email-already-exists');
} else {
+ $email = stripslashes($_GET['email']);
+ if (function_exists('filter_var')) {
+ if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
+ die('-1');
+ }
+ }
+ elseif (!preg_match('/^([a-z0-9_\-\.])+\@([a-z0-9_\-\.])+\.([a-z]{2,4})$/i', $email)) {
+ die('-1');
+ }
+
saveEmail($_GET['email']);
echo get_option('accept-signups-email-saved');
}

Помимо OSVDB-70101, данный патч исправляет еще пару мелких недочётов.

Межсайтовый скриптинг в WordPress BezahlCode-Generator 1.0

Vladimir — Wed, 09 Feb 2011 03:13:15 +0000

Патч для BezahlCode-Generator, исправляющий уязвимость

В плагине BezahlCode-Generator 1.0 обнаружена уязвимость, позволяющая провести удалённому пользователю XSS-атаку. Уязвимость связана с отсутствием обработки входных данных в параметрах gen_name, gen_account, gen_BNC, gen_amount, gen_reason в bezahlcode-generator/der_generator.php.

Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Патч для BezahlCode-Generator 1.0:

--- der_generator.orig.php 2011-02-09 04:52:27.000000000 +0200
+++ der_generator.php 2011-02-09 05:00:20.457537559 +0200
@@ -16,15 +16,15 @@
($_REQUEST['gen_type']=="singlepaymentspende") echo 'checked="checked"'?>/> Spendenzahlung

($_REQUEST['gen_type']=="singledirectdebit") echo 'checked="checked"'?>/> Lastschrift

-Name:
(this, 'dtaus')" name="gen_name" maxlength="27" value="($_REQUEST['gen_name'])?$_REQUEST['gen_name']:""?>">
+Name:
(this, 'dtaus')" name="gen_name" maxlength="27" value="($_REQUEST['gen_name'])?esc_attr($_REQUEST['gen_name']):""?>">

-Kontonummer:
1234" id="gen_account" onblur="checkInput(this, 'ganzzahl')" name="gen_account" value="($_REQUEST['gen_account'])?$_REQUEST['gen_account']:""?>" >
+Kontonummer:
1234" id="gen_account" onblur="checkInput(this, 'ganzzahl')" name="gen_account" value="($_REQUEST['gen_account'])?esc_attr($_REQUEST['gen_account']):""?>" >

-BLZ:
1234" id="gen_BNC" onblur="checkInput(this, 'ganzzahl')" name="gen_BNC" value="($_REQUEST['gen_BNC'])?$_REQUEST['gen_BNC']:""?>" >
+BLZ:
1234" id="gen_BNC" onblur="checkInput(this, 'ganzzahl')" name="gen_BNC" value="($_REQUEST['gen_BNC'])?esc_attr($_REQUEST['gen_BNC']):""?>" >

-Betrag in Euro (z.B. 1234,50)
1234,50" onblur="checkInput(this, 'dezimalzahl')" id="gen_amount" name="gen_amount" value="($_REQUEST['gen_amount'])?$_REQUEST['gen_amount']:""?>" >
+Betrag in Euro (z.B. 1234,50)
1234,50" onblur="checkInput(this, 'dezimalzahl')" id="gen_amount" name="gen_amount" value="($_REQUEST['gen_amount'])?esc_attr($_REQUEST['gen_amount']):""?>" >

-Verwendungszweck:
(this, 'dtaus')" name="gen_reason" maxlength="54" value="($_REQUEST['gen_reason'])?$_REQUEST['gen_reason']:""?>" >
+Verwendungszweck:
(this, 'dtaus')" name="gen_reason" maxlength="54" value="($_REQUEST['gen_reason'])?esc_attr($_REQUEST['gen_reason']):""?>" >

ionCube и xCache

Vladimir — Fri, 10 Dec 2010 04:58:09 +0000

Случайные segmentation fault

Вчера столкнулся с неожиданными ошибками php (segmentation fault) на сервере, на котором стояли ionCube Loader и xCache. Причем падения происходили исключительно при работе wp-cron.php.

Тем, у кого похожая проблема и нет желания читать дальше:

Загружайте xcache при помощи директивы extension, а не zend_extension (скажу честно, я не понял, в чём существенная разница, но, с другой стороны, на исходный код ionCube Loader никто посмотреть не даст).
Наложите мой патч на исходный код xCache. Его можно найти в первом комментарии к сообщению об ошибке.

Теперь технические подробности для тех, кому интересно.

Падение происходит непосредственно в ionCube Loader (дайте исходник!!!), трасса вызовов выглядит примерно так:

#0 0x00007ffff452abdb in ?? () from /usr/lib/php5/20090626/ioncube_loader_lin_5.3.so
#1 0x00007ffff4528a95 in ?? () from /usr/lib/php5/20090626/ioncube_loader_lin_5.3.so
#2 0x00007ffff452adb7 in ?? () from /usr/lib/php5/20090626/ioncube_loader_lin_5.3.so
#3 0x00007ffff4528a95 in ?? () from /usr/lib/php5/20090626/ioncube_loader_lin_5.3.so
#4 0x00007ffff452adb7 in ?? () from /usr/lib/php5/20090626/ioncube_loader_lin_5.3.so
#5 0x00007ffff4528a95 in ?? () from /usr/lib/php5/20090626/ioncube_loader_lin_5.3.so
#6 0x00007ffff452adb7 in ?? () from /usr/lib/php5/20090626/ioncube_loader_lin_5.3.so
#7 0x00007ffff4528a95 in ?? () from /usr/lib/php5/20090626/ioncube_loader_lin_5.3.so
#8 0x00007ffff452adb7 in ?? () from /usr/lib/php5/20090626/ioncube_loader_lin_5.3.so
#9 0x00007ffff4528a95 in ?? () from /usr/lib/php5/20090626/ioncube_loader_lin_5.3.so
#10 0x000000000078b12d in zend_call_function (fci=0x7fffffff96c0, fci_cache=0x7fffffff9710) at /root/php5-5.3.3/Zend/zend_execute_API.c:963
#11 0x0000000000679c2c in zif_call_user_func_array (ht=2, return_value=0x8719540, return_value_ptr=0x0, this_ptr=0x0, return_value_used=0) at /root/php5-5.3.3/ext/standard/basic_functions.c:4788
#12 0x00000000007d0e2a in zend_do_fcall_common_helper_SPEC (execute_data=0x56b5480) at /root/php5-5.3.3/Zend/zend_vm_execute.h:316
#13 0x00000000007d550f in ZEND_DO_FCALL_SPEC_CONST_HANDLER (execute_data=0x56b5480) at /root/php5-5.3.3/Zend/zend_vm_execute.h:1606
#14 0x00000000007d0274 in execute (op_array=0x2c5ace0) at /root/php5-5.3.3/Zend/zend_vm_execute.h:107
#15 0x00007ffff452adb7 in ?? () from /usr/lib/php5/20090626/ioncube_loader_lin_5.3.so
#16 0x00007ffff4528a95 in ?? () from /usr/lib/php5/20090626/ioncube_loader_lin_5.3.so
#17 0x000000000078b12d in zend_call_function (fci=0x7fffffff9b90, fci_cache=0x7fffffff9be0) at /root/php5-5.3.3/Zend/zend_execute_API.c:963
#18 0x0000000000679c2c in zif_call_user_func_array (ht=2, return_value=0x85fd8d8, return_value_ptr=0x0, this_ptr=0x0, return_value_used=0) at /root/php5-5.3.3/ext/standard/basic_functions.c:4788
#19 0x00000000007d0e2a in zend_do_fcall_common_helper_SPEC (execute_data=0x56b4088) at /root/php5-5.3.3/Zend/zend_vm_execute.h:316
#20 0x00000000007d550f in ZEND_DO_FCALL_SPEC_CONST_HANDLER (execute_data=0x56b4088) at /root/php5-5.3.3/Zend/zend_vm_execute.h:1606
#21 0x00000000007d0274 in execute (op_array=0x601eba0) at /root/php5-5.3.3/Zend/zend_vm_execute.h:107
#22 0x00000000007d0fed in zend_do_fcall_common_helper_SPEC (execute_data=0x56b3858) at /root/php5-5.3.3/Zend/zend_vm_execute.h:340
#23 0x00000000007d1526 in ZEND_DO_FCALL_BY_NAME_SPEC_HANDLER (execute_data=0x56b3858) at /root/php5-5.3.3/Zend/zend_vm_execute.h:421
#24 0x00000000007d0274 in execute (op_array=0x79ab1b8) at /root/php5-5.3.3/Zend/zend_vm_execute.h:107
#25 0x000000000079ad95 in zend_execute_scripts (type=8, retval=0x0, file_count=3) at /root/php5-5.3.3/Zend/zend.c:1266
#26 0x00000000007225c6 in php_execute_script (primary_file=0x7fffffffc3f0) at /root/php5-5.3.3/main/main.c:2288
#27 0x000000000087ef85 in main (argc=6, argv=0x7fffffffe6a8) at /root/php5-5.3.3/sapi/cgi/cgi_main.c:2117

Разбор кадров стека показал:

21 кадр: wp-cron.php через вызов do_action_ref_array() вызывает код, находящийся в закодированном файле; управление передаётся загрузчику ioncube (16 кадр);
15 кадр: закодированный файл вызывает do_action() — управление передаётся в нормальный код;
14 кадр: do_action() вызывает функцию из зашифрованного файла через call_user_func_array();
9 кадр: загрузчик получает управление;
8 кадр (а также 6, 4, 2): судя по адресу (0x00007ffff452adb7), совпадающему с адресом из 15 кадра, вызывается что-то не закодированное;
кадры 7, 5, 3, 1: похоже на вызов функций в закодированном файле из обычного кода;
0 кадр: segfault. Что интересно, не по адресу 0x00007ffff452adb7, а, судя по всему, на инструкцию позже (исходники дайте, блин!).

Естественно, что тех поддержка ionCube всё сваливает на xCache — ведь без xCache всё работает. Но в xCache с виду всё чисто.

Совершенно случайно обнаружилось, что если xCache загружать через директиву extension, то ошибки не происходит. С другой стороны, в обоих случаях выполняется один и тот же код (с разницей в том, что загружается первым: расширение PHP или расширение Zend). Лично мне кажется, что ошибка где-то в коде загрузчика ionCube, но разработчики последнего со мной не согласны.

UPD: в конечном итоге снёс xCache, поставил APC — полёт нормальный.
UPD2: а еще экспериментально выяснилось, что ionCube Encoder сохраняет в зашифрованном файле информацию о том, какая лицензия ionCube (именно лицензия на кодировщик!) использовалась при шифровании, что позволяет установить (сотрудникам ionCube), покупателя ionCube Encoder. Nick проговорился

Официальный русский WordPress и SSL

Vladimir — Wed, 01 Dec 2010 13:15:22 +0000

Исправление проблем с SSL при использовании официального русского WordPress

На днях понадобилось прикрутить к русскоязычному сайту, использующему WordPress, SSL. SSL требовался только в админке, поэтому решалось всё просто:

define("FORCE_SSL_LOGIN", true);
define("FORCE_SSL_ADMIN", true);

Но после логина и захода в панель администрирования браузер сказал, что соединение не является полностью защищённым — присутствовали объекты, которые загружались по HTTP, а не HTTPS.

Быстрый взгляд на исходный текст страницы и виновные найдены:

Эти три таблицы стилей грузятся с http, в то время как все остальные ресурсы грузятся с https. А путь (wp-content/languages/) указывает на то, что проблемы были вызваны файлами локализации. Заходим в wp-content/languages/, видим файл ru_RU.php, смотрим:

$wp_default_secret_key = 'впишите сюда уникальную фразу';

// Make the menu wider and correct some overlapping issues
function ru_accomodate_markup() {
global $locale, $wp_styles;

wp_enqueue_style($locale, WP_CONTENT_URL . "/languages/$locale.css", array(), '20100615', 'all');
wp_enqueue_style("$locale-ie", WP_CONTENT_URL . "/languages/$locale-ie.css", array(), '20100615', 'all');
if ( is_multisite() )
wp_enqueue_style("ms-$locale", WP_CONTENT_URL . "/languages/ms-$locale.css", array(), '20100615', 'all');
$wp_styles->add_data("$locale-ie", 'conditional', 'IE');

wp_print_styles();
}
add_action('admin_head', 'ru_accomodate_markup');

function ru_populate_options() {
add_option('rss_language', 'ru');
}
add_action('populate_options', 'ru_populate_options');

function ru_restore_scripts_l10n() {
global $wp_scripts;

if ( is_a($wp_scripts, 'WP_Scripts') ) {
do_action_ref_array('wp_default_scripts', array(&$wp_scripts));
}
}
add_action('init', 'ru_restore_scripts_l10n');

Очевидно, что проблема заключается в использовании константы WP_CONTENT_URL — если URL сайта начинается с http://, то вне зависимости от значений констант FORCE_SSL_xxx значение WP_CONTENT_URL всегда будет начинаться с http://. Что недопустимо при использовании SSL.

Лечение простое: заменить WP_CONTENT_URL на вызов функции content_url():

$wp_default_secret_key = 'впишите сюда уникальную фразу';

// Make the menu wider and correct some overlapping issues
function ru_accomodate_markup() {
global $locale, $wp_styles;

wp_enqueue_style($locale, content_url("languages/$locale.css"), array(), '20100615', 'all');
wp_enqueue_style("$locale-ie", content_url("languages/$locale-ie.css"), array(), '20100615', 'all');
if ( is_multisite() )
wp_enqueue_style("ms-$locale", content_url("languages/ms-$locale.css"), array(), '20100615', 'all');
$wp_styles->add_data("$locale-ie", 'conditional', 'IE');

wp_print_styles();
}
add_action('admin_head', 'ru_accomodate_markup');

function ru_populate_options() {
add_option('rss_language', 'ru');
}
add_action('populate_options', 'ru_populate_options');

function ru_restore_scripts_l10n() {
global $wp_scripts;

if ( is_a($wp_scripts, 'WP_Scripts') ) {
do_action_ref_array('wp_default_scripts', array(&$wp_scripts));
}
}
add_action('init', 'ru_restore_scripts_l10n');
?>

Патч:

--- ru_RU.php.orig 2010-12-01 14:01:46.000000000 +0200
+++ ru_RU.php 2010-12-01 14:59:25.000000000 +0200
@@ -5,10 +5,10 @@
function ru_accomodate_markup() {
global $locale, $wp_styles;

- wp_enqueue_style($locale, WP_CONTENT_URL . "/languages/$locale.css", array(), '20100615', 'all');
- wp_enqueue_style("$locale-ie", WP_CONTENT_URL . "/languages/$locale-ie.css", array(), '20100615', 'all');
+ wp_enqueue_style($locale, content_url("languages/$locale.css"), array(), '20100615', 'all');
+ wp_enqueue_style("$locale-ie", content_url("languages/$locale-ie.css"), array(), '20100615', 'all');
if ( is_multisite() )
- wp_enqueue_style("ms-$locale", WP_CONTENT_URL . "/languages/ms-$locale.css", array(), '20100615', 'all');
+ wp_enqueue_style("ms-$locale", content_url("languages/ms-$locale.css"), array(), '20100615', 'all');
$wp_styles->add_data("$locale-ie", 'conditional', 'IE');

wp_print_styles();

Интересно, кому об этой ошибке сообщать?

Генерация карты сайта в HTML из XML: часть 3

Vladimir — Sun, 28 Nov 2010 00:30:50 +0000

Автоматизация: перекладываем работу на Google XML Sitemaps

Продолжение цикла статей на тему генерации карты сайта в HTML из карты XML.

В данной статье будет рассмотрен вопрос модификации плагина Google XML Sitemaps с целью добавления поддержки автоматической генерации HTML-версии карты сайта; как и в предыдущих статьях, преобразование будет осуществляться средствами XSL.

В первой части статьи мы рассматривали вариант, основанный на использовании утилиты xsltproc. Предполагалось, что генерация HTML-версии карты сайта осуществляется с использованием cron. Создание карты по расписанию означает, что построение HTML-карты будет запаздывать на некоторое время; а если не сравнивать время модификации XML- и HTML-версий карт, получим бесполезные вызовы xsltproc.

Те, кто используют WordPress, очень часто для автоматического построения карты сайта используют плагин Google XML Sitemaps; для них предлагается вариант с модификацией кода плагина для автоматической генерации HTML-карты.

Плагин позволяет задавать свою таблицу стилей XSLT:

Мы изменим плагин таким образом, чтобы при заданной таблице стилей XSL плагин создавал HTML-файл с результатами преобразований XSL.

В файле sitemap-core.php ищем такой кусок кода:

if($this->GetOption("b_xml")) {
if($this->_fileHandle && fclose($this->_fileHandle)) {
$this->_fileHandle = null;
$status->EndXml(true);
$pingUrl=$this->GetXmlUrl();
} else $status->EndXml(false,"Could not close the sitemap file.");

После него добавляем такой:

if (class_exists('XSLTProcessor', true)) {
$file = $this->GetXmlPath();
$styleSheet = ($this->GetDefaultStyle() && $this->GetOption('b_style_default') === true ? $this->GetDefaultStyle() : $this->GetOption('b_style'));
if (!empty($styleSheet)) {
$xsl = new DOMDocument();
$xsl->load($styleSheet);

$xml = new DOMDocument();
$xml->load($file);

$proc = new XSLTProcessor();
$proc->importStyleSheet($xsl);
$proc->transformToURI($xml, 'file://' . str_replace('.xml', '.html', $file));
}
}

Данный код требует PHP 5 и расширения XSLT (в Debian/Ubuntu оно предоставляется пакетом php5-xsl). Код получает имя файла с картой сайта и адрес таблицы стилей (этот адрес должен быть задан абсолютным URL); XML и XSL скармливаются XSLT Processor’у, результат записывается в файл с тем же именем, что и карта сайта XML, но с расширением .html.

Теперь при каждом построении карты сайта будет создаваться и HTML-версия.

Тем, кто любит патчи (патч кумулятивный, исправляет и некоторые другие недостатки плагина):

--- sitemap-core.php.orig 2010-08-16 10:49:16.000000000 +0300
+++ sitemap-core.php 2010-11-28 02:10:08.000000000 +0200
@@ -1654,9 +1654,9 @@
$this->AddElement(new GoogleSitemapGeneratorXmlEntry('<' . '?xml-stylesheet type="text/xsl" href="' . $styleSheet . '"?' . '>'));
}

- $this->AddElement(new GoogleSitemapGeneratorDebugEntry("generator=\"wordpress/" . get_bloginfo('version') . "\""));
- $this->AddElement(new GoogleSitemapGeneratorDebugEntry("sitemap-generator-url=\"http://www.arnebrachhold.de\" sitemap-generator-version=\"" . $this->GetVersion() . "\""));
- $this->AddElement(new GoogleSitemapGeneratorDebugEntry("generated-on=\"" . date(get_option("date_format") . " " . get_option("time_format")) . "\""));
+// $this->AddElement(new GoogleSitemapGeneratorDebugEntry("generator=\"wordpress/" . get_bloginfo('version') . "\""));
+// $this->AddElement(new GoogleSitemapGeneratorDebugEntry("sitemap-generator-url=\"http://www.arnebrachhold.de\" sitemap-generator-version=\"" . $this->GetVersion() . "\""));
+// $this->AddElement(new GoogleSitemapGeneratorDebugEntry("generated-on=\"" . date(get_option("date_format") . " " . get_option("time_format")) . "\""));

//All comments as an asso. Array (postID=>commentCount)
$comments=($this->GetOption("b_prio_provider")!=""?$this->GetComments():array());
@@ -2172,6 +2172,22 @@
$status->EndXml(true);
$pingUrl=$this->GetXmlUrl();
} else $status->EndXml(false,"Could not close the sitemap file.");
+
+ if (class_exists('XSLTProcessor', true)) {
+ $file = $this->GetXmlPath();
+ $styleSheet = ($this->GetDefaultStyle() && $this->GetOption('b_style_default') === true ? $this->GetDefaultStyle() : $this->GetOption('b_style'));
+ if (!empty($styleSheet)) {
+ $xsl = new DOMDocument();
+ $xsl->load($styleSheet);
+
+ $xml = new DOMDocument();
+ $xml->load($file);
+
+ $proc = new XSLTProcessor();
+ $proc->importStyleSheet($xsl);
+ $proc->transformToURI($xml, 'file://' . str_replace('.xml', '.html', $file));
+ }
+ }
}

if($this->IsGzipEnabled()) {
@@ -2514,9 +2530,9 @@
* @return int The time in seconds
*/
function GetTimestampFromMySql($mysqlDateTime) {
- list($date, $hours) = split(' ', $mysqlDateTime);
- list($year,$month,$day) = split('-',$date);
- list($hour,$min,$sec) = split(':',$hours);
+ list($date, $hours) = explode(' ', $mysqlDateTime);
+ list($year,$month,$day) = explode('-',$date);
+ list($hour,$min,$sec) = explode(':',$hours);
return mktime(intval($hour), intval($min), intval($sec), intval($month), intval($day), intval($year));
}

Очередная партия исправлений для Simple Tags

Vladimir — Thu, 28 Oct 2010 18:30:49 +0000

Cannot load st_mass_tags

Благодаря одному из своих читателей я узнал, что у плагина Simple Tags помимо проблем, которые я регулярно исправляю, есть еще одна: при попытке зайти в Posts » Mass edit terms » All Pages выдаётся сообщение Невозможно загрузить st_mass_tags.

Об ошибке автору сообщили на форуме поддержки, но так как автор в комментариях не отметился, пришлось исправлять плагин самостоятельно.

Как оказалось, всё дело в вызове add_posts_page(). Дело в том, что эта функция регистрирует страницу плагина в системе только для меню «Записи» (Posts). Ссылки «Все записи», «Черновики», «Опубликованные» работают нормально, так как в их основе /wp-admin/edit.php?page=st_mass_tags. А ссылка «Все страницы» (/wp-admin/edit.php?page=st_mass_tags&post_type=page) уже не работает — из-за post_type=page. А всё потому, что edit.php?post_type=page — это уже другое меню (Страницы/Pages), для которого add_posts_page() не работает. Для того, чтобы зарегистрировать страницу в этом меню, нужно использовать функцию add_pages_page().

Но при использовании add_pages_page() ссылка на страницу появится в меню «Страницы», а это, скорее всего, не совсем то, что хотел автор (фактически, у нас бы получилось два пункта «Mass Edit Terms» — один в меню записей, другой в меню страниц). Поэтому для чистого решения проблемы нужно проэмулировать работу функции add_pages_page(), но не создавать запись в меню.

Решение получается очень простым:

--- simple-tags/inc/admin.orig.php 2010-10-24 15:31:16.000000000 +0300
+++ simple-tags/inc/admin.php 2010-10-24 15:59:37.000000000 +0300
@@ -231,6 +231,17 @@
add_posts_page( __('Simple Terms: Mass Edit Terms', 'simpletags'), __('Mass Edit Terms', 'simpletags'), 'simple_tags', 'st_mass_tags', array(&$this, 'pageMassEditTags'));
add_posts_page( __('Simple Terms: Auto Terms', 'simpletags'), __('Auto Terms', 'simpletags'), 'simple_tags', 'st_auto', array(&$this, 'pageAutoTags'));
add_options_page( __('Simple Tags: Options', 'simpletags'), __('Simple Tags', 'simpletags'), 'admin_simple_tags', 'st_options', array(&$this, 'pageOptions'));
+
+ global $_registered_pages, $_wp_real_parent_file;
+ $menu_slug = plugin_basename('st_mass_tags');
+ $parent_slug = plugin_basename('edit.php?post_type=page');
+ if (isset($_wp_real_parent_file[$parent_slug])) {
+ $parent_slug = $_wp_real_parent_file[$parent_slug];
+ }
+
+ $hookname = get_plugin_page_hookname($menu_slug, $parent_slug);
+ add_action($hookname, array(&$this, 'pageMassEditTags'));
+ $_registered_pages[$hookname] = true;
}

/**

Специально для тех, у кого слово патч вызывает нехорошие мысли, я собрал исправленную версию плагина, в которой:

Устранена эта самая ошибка;
добавлена поддержка UTF-8 в автоматических ссылках;
оптимизирован вызов register_uninstall_hook();
исправлена проблема с локализацией (спасибо Analitik).

Скачать исправленный плагин Simple Tags 1.8.2.

Исправляем Simple Tags 1.8

Vladimir — Mon, 13 Sep 2010 03:44:50 +0000

Очередная порция патчей для Simple Tags

Традиционное исправление ошибок в плагине Simple Tags.

Ошибки всё те же:

Радует, что проблему с автоматическими ссылками меток автор всё же поправил Это то, ради чего данный плагин установлен.

Традиционный патч (unified diff):

diff -uwdBrN simple-tags.orig/inc/client.php simple-tags/inc/client.php
--- simple-tags.orig/inc/client.php 2010-08-11 10:37:39.000000000 +0300
+++ simple-tags/inc/client.php 2010-09-13 06:20:40.000000000 +0300
@@ -157,8 +157,9 @@
}

$filtered = ''; // will filter text token by token
- $match = "/\b" . preg_quote($term_name, "/") . "\b/".$case;
- $substitute = '( sprintf( __('Posts tagged with %s', 'simpletags'), $term_name ) )."\">$0";
+ $quoted = preg_quote($term_name, "/");
+ $match = '/(\PL|\A)(' . $quoted . ')(\PL|\Z)/u'.$case;
+ $substitute = '$1( sprintf( __('Posts tagged with %s', 'simpletags'), $term_name ) )."\">$2$3";

// for efficiency only tokenize if forced to do so
if ( $must_tokenize ) {
diff -uwdBrN simple-tags.orig/inc/inc.functions.php simple-tags/inc/inc.functions.php
--- simple-tags.orig/inc/inc.functions.php 2010-08-11 10:37:39.000000000 +0300
+++ simple-tags/inc/inc.functions.php 2010-09-13 06:16:05.000000000 +0300
@@ -4,6 +4,7 @@
*
*/
function SimpleTags_Install() {
+ register_uninstall_hook (dirname(__FILE__) . '/simple-tags.php', 'SimpleTags_Uninstall' );
$options_from_table = get_option( STAGS_OPTIONS_NAME );
if ( $options_from_table == false ) {
$options = (array) include( dirname(__FILE__) . '/default.options.php' );
diff -uwdBrN simple-tags.orig/simple-tags.php simple-tags/simple-tags.php
--- simple-tags.orig/simple-tags.php 2010-08-11 10:37:38.000000000 +0300
+++ simple-tags/simple-tags.php 2010-09-13 06:34:39.000000000 +0300
@@ -3,7 +3,7 @@
Plugin Name: Simple Tags
Plugin URI: http://redmine.beapi.fr/projects/show/simple-tags
Description: Extended Tagging for WordPress 3.0 ! Suggested Tags, Mass edit tags, Autocompletion, Tag Cloud Widgets, Related Posts, Related Tags, etc!
-Version: 1.8
+Version: 1.8.1
Author: Amaury BALMER
Author URI: http://www.herewithme.fr
Text Domain: simpletags
@@ -23,6 +23,7 @@
Contributors:
- Kevin Drouvin (kevin.drouvin@gmail.com - http://inside-dev.net)
- Martin Modler (modler@webformatik.com - http://www.webformatik.com)
+- Vladimir Kolesnikov (vladimir at extrememember dot com - http://blog.sjinks.pro)

Todo:
Both :
@@ -60,7 +61,6 @@

// Activation, uninstall
register_activation_hook(__FILE__, 'SimpleTags_Install' );
-register_uninstall_hook (__FILE__, 'SimpleTags_Uninstall' );

// Init ST
function simple_tags_init() {

И zip-архив для тех, кто патчи не любит: скачать исправленную версию плагина Simple Tags 1.8.

Core Control: лечим некорректное отображение методов в модуле cron

Vladimir — Fri, 10 Sep 2010 16:18:52 +0000

Патч для плагина Core Control для корректного отображения имён методов

Есть один замечательный плагин для разработчиков, называется Core Control. Данный плагин позволяет контролировать различные аспекты работы WordPress: транспорт HTTP (например, расширение PHP HTTP, cURL, потоки PHP и т.п.), протоколирование HTTP-запросов, контроль обновлений ядра, плагинов и тем, способы доступа к файловой системе, а также отображение запланированных задач.

Работая над одним плагином, в котором усиленно использовалось планирование заданий, мы столкнулись с проблемой, что cron-модуль плагина Core Control неправильно отображает запланированные задания, если задание представлено не обычной функцией, а методом класса:

К счастью, исправляется довольно легко.

--- core-control/modules/core_control_cron.php.orig 2010-09-10 09:20:08.000000000 -0400
+++ core-control/modules/core_control_cron.php 2010-09-10 09:31:38.000000000 -0400
@@ -138,8 +138,23 @@
if ( isset($GLOBALS['wp_filter'][$hook]) ) {
$functions = array();
foreach ( (array)$GLOBALS['wp_filter'][$hook] as $priority => $function ) {
- foreach ( $function as $hook_details )
- $functions[] = (isset($hook_details['class']) ? $hook_details['class'] . '::' : '') . $hook_details['function'] . '()';
+ foreach ( $function as $hook_details ) {
+ $hook = '';
+ $f = $hook_details['function'];
+ if (is_array($f)) {
+ if (is_object($f[0])) {
+ $hook = get_class($f[0]);
+ }
+ else {
+ $hook = $f[0];
+ }
+ $hook .= '::' . $f[1];
+ }
+ else {
+ $hook = $f;
+ }
+ $functions[] = $hook . '()';
+ }
}
echo '
Hooked functions: ' . implode(', ', $functions);
}