以编程方式提交 WordPress 表单密码

Question

如何让用户访问受 WordPress 保护的页面，其 URL 将在下面的表单中提交密码？

我希望能够让用户无需输入密码即可访问受密码保护的 WordPress 页面，因此当他们访问该页面时，密码是通过页面加载时的 POST URL 提交的。

这在任何方面都不是安全的；我需要在 URL 和 PHP 中对密码进行硬编码。这只是为了方便用户。

编辑 4/19/10： 根据下面的答案，可以直接设置 cookie 以允许用户不必输入密码。最好通过检测用户代理和重定向来让搜索机器人进入，因为机器人不会处理 cookie。

这是表单（这是 WordPress 核心代码）：

<form action="http://mydomain.com/wp-pass.php" method="post">

Password: <input name="post_password" type="password" size="20" />

<input type="submit" name="Submit" value="Submit" /></form>

这是 wp-pass.php（这是 WordPress 核心代码）：

<?php
require( dirname(__FILE__) . '/wp-load.php');

if ( get_magic_quotes_gpc() )
    $_POST['post_password'] = stripslashes($_POST['post_password']);

setcookie('wp-postpass_' . COOKIEHASH, $_POST['post_password'], time() + 864000, COOKIEPATH);

wp_safe_redirect(wp_get_referer());
?>

Answer 1

我将尝试在此处进一步解释该问题，而不是继续附加上一个答案。

Wordpress 密码的工作方式是：

1. 原始页面有一个表单，其中 已发送至wp-pass.php。
2. wp-pass.php 接受提供的 密码，把它放在一个cookie中，然后 将用户重定向回 原始页面。
3. 原始页面检查cookie 如果密码正确，它 将显示该页面。

这里的问题是搜索引擎不接受 cookie。所以，你有两个选择：

1. 将 Wordpress 用于密码内容的代码更改为也接受 $_GET 变量的代码。
2. 使用 cURL 发送 cookie 使用 headers，有单独的页面搜索引擎可以使用。

如果您愿意，我很乐意扩展后一个答案，但我确实想知道；如果您要让搜索引擎访问密码内容，那么任何人都可以访问。为什么不直接删除密码？

Answer 2

在 wp-pass.php 中将 $_POST 更改为 $_REQUEST。

该代码仅查看 POST 变量，而不是 URL 中的 GET 变量。 REQUEST 全局包含 POST 和 GET 变量，这正是您想要的。

可能有更好的方法，但我不知道 WordPress。

编辑

问题是这些参数在 GET 数组中，而不是 POST 数组中。因此，使用带有参数的常规链接是行不通的。您可以使用带有隐藏字段的表单。如果需要，您可以设置提交按钮的样式，使其看起来像一个链接。

<form action="http://mydomain.com/wp-pass.php" method="post">
<input name="post_password" type="hidden" value="totally insecure password here" />
<input type="submit" name="Submit" value="Click here to enter your account" />
</form>

Answer 3

如果你想在不编辑 WP 内核的情况下这样做，你可以使用 cURL 来模拟 POST 变量，如下所示：

$ch = curl_init("http://mydomain.com/wp-pass.php");
curl_setopt($ch, CURLOPT_POSTFIELDS,  "post_password=mypassword&Submit=Submit");  
curl_setopt($ch, CURLOPT_HEADER, 0);  
curl_setopt($ch, CURLOPT_POST, 1);  
curl_exec($ch);  
curl_close($ch);

Answer 4

在this answer的评论中：

其实，现在我想搜索 引擎索引页面，但随后 来自该搜索的非 googlebot 流量 链接被重定向到 介绍页面，不是密码 受保护的页面。我可以使用 php 来 选择 googlebot 流量以查看 页面（并将其编入索引），但非 googlebot 流量可以得到一个 http 重定向到 内容所在的介绍页面 用户在看到后通过 ajax 切换 简介？

小心这种做法。搜索引擎可以将其解释为Cloaking。

Cloaking 是一个黑帽搜索引擎 优化（SEO）技术，其中 呈现给搜索的内容 引擎蜘蛛与此不同 呈现给用户的浏览器。

我并不是说他们会自动知道您正在这样做，也许他们永远不会知道。但了解所涉及的风险很有趣。

我想知道您对这种做法的意图，以了解是否有其他替代方案适合您的需求。

Answer 5

首先我不知道搜索引擎对 javascript 的反应如何，但这样的东西可以工作吗？

致电mydomain.com/wp-pass.php?post_password=mypassword&Submit=Submit

添加这2个js函数：

function gup( name ){  
 name = name.replace(/[\[]/,"\\\[").replace(/[\]]/,"\\\]");  
 var regexS = "[\\?&]"+name+"=([^&#]*)";  var regex = new RegExp( regexS );  
 var results = regex.exec( window.location.href );  
 if( results == null )    
  return "";  
 else    
  return results[1];
}

function setPassword()
{

 var password = gup('post_password');
 var passField = document.getElementByName('post_password');
 var buttonSubmit = document.getElementByName('Submit');

 if(password != "")
 {
  passField.value = password;
  buttonSubmit.Click();
 }

}

添加到正文标签，OnLoad="setPassword();"

我不知道机器人对此有何反应...

Answer 6

我认为之前的答案比他们需要的要复杂得多。

如果每个人都可以阅读该页面，请不要使用密码保护它。这是迄今为止最简洁的解决方案。如果每个人和他的狗都可以阅读该页面，密码是多少？

如果您确实觉得需要使用 POST 来创建链接，那么可以这样做：

（对不起，如果这个背景是多余的，但从你的问题看来，值得一提的是：HTTP 支持 URL 上的各种方法；POST 开启，GET 是另一种。当你正常获取一个 url 时，就像 元素，您正在使用 GET 方法。）

我同意修改核心文件以将 $_POST 替换为 $_REQUEST 是不必要的。你想要的是一个使用 POST 方法的链接元素。为此，请制作一个简单的表格，如下所示：

<form action="your url" method="POST">
    <input type="hidden" value="my_password" name="password"/>
    <input type="submit" value="Submit" name="submit">
</form>

你可以添加 style="border: 0; background: transparent;"依此类推到第二个输入，如果你愿意，让它看起来像一个正常的链接。这有点麻烦，但只要您需要使用 POST 方法发送链接，它就可以正常工作。

PS。使用 Wireshark 检查 POST 变量非常浪费时间。安装 Firebug FF 扩展并使用网络面板。它将大大加快处理这些事情的速度。