### 关键信息 1. **安全措施增强** - 删除了未验证身份用户调用的 `wp_ajax_nopriv_*` 动作,以预防未授权访问导致的安全风险。 2. **反序列化处理改进** - 改进了反序列化函数 `nxt_unserialize_replace` 的安全性,确保只有控制的数据进行反序列化(如数据库数据,而非用户输入)。 - 添加了对 PHP 版本的检查,使用不同的方法反序列化数据以适应不同 PHP 版本,并避免 PHP 对象注入。 3. **权限验证加强** - 确保只有管理员(具有 "manage_options" 权限的用户)才能执行特定操作。 - 对每个操作添加了用户登录和管理员权限的验证。 4. **注释更新** - 添加了详细的安全注释,说明了安全措施的目的,如防止 PHP 对象注入和未授权访问等。 ```markdown ### 代码变更要点 - **删除未授权访问接口**: ```php -add_action('wp_ajax_nopriv_nxt_replace_url','nxt_replace_url'); -add_action('wp_ajax_nopriv_nxt_replace_confirm_url','nxt_replace_confirm_url'); ``` - **增强反序列化安全**: ```php if ( version_compare( PHP_VERSION, '7.0.0', '>=' ) ) { $unserialized = @unserialize( $serialized_string, array( 'allowed_classes' => false ) ); } else { if ( preg_match( '/O:\d+:"[^\/', $serialized_string ) ) { return $data; } $unserialized = @unserialize( $serialized_string ); } ```