WordPress 2.1.3 & 2.0.10 Release at gYTHIALY’s Blog

April 3, 2007 No comments

News
WordPress

WordPress 2.1.3 & 2.0.10 Release

WordPress 2.1.3和WordPress 2.0.10于北京时间2007年4月3日早上8点33分发布，WordPress 2.2将在20天后的4月23日发布。

WordPress 2.0.10的更新有：

修正Ecto通过XMLRPC发布文章时不能Trackback的问题。[4907]
add_query_arg()和remove_query_arg()函数的返回值未做防XSS处理，因为它们的返回值可能被用于HTTP Header里的重定向地址。在这些返回值被作为HTML标签的属性输出到浏览器的时候，应该使用attribute_escape()函数进行处理以防XSS攻击。[5007] #3937
使用get_query_var()函数来获取一些参数，而不再使用全局变量。[5010]
Prophylactic casting(预防性强制类型转换)，对于一些浏览器发来的数据进行强制类型转换，以防XSS跨站脚本攻击。[5022] [5037] [5080] [5084] [5099] [5100] [5121]
对于已经登录的用户在再次登录时将忽略redirect_to参数，直接跳转到后台管理首页。[5023]
在为文章指定新的分类时验证分类ID的正确性。[5031]
wp_title()函数的一个小修正。[5035]
拥有unfiltered_html权限的用户在发表评论时评论内容不会被KSES检测，可能导致XSS攻击。而只有管理员和编辑员才有unfiltered_html权限，攻击者可以通过一次XSRF攻击来使管理员向自己的Blog发布一个评论，评论内容中包含XSS攻击代码。[5041] #3973 攻击描述
用attribute_escape()函数处理previous_posts()和next_posts()函数的输出。[5047]
Don’t cast to string if empty.(当变量为空时不要强制转换为字符串类型。)[5053] #3979
当输出src和href属性时，用clean_url()函数代替attribute_escape()函数进行处理以防XSS。[5058] [5121]
clean_url()函数里，不再给相对链接添加"http://"头。[5067]
使用clean_url()函数处理链接地址和链接RSS地址。[5070]
在通过XMLRPC发布文章时检查是否有发布文章的权限。[5076]
clean_url()函数中，当检测到地址包含".php"字样的相对链接时不再添加"http://"头。[5097]

WordPress 2.0.10相对于WordPress 2.0.9更新的文件有：

wp-admin/import/dotclear.php
wp-admin/import/livejournal.php
wp-admin/import/mt.php
wp-admin/admin-db.php
wp-admin/admin-functions.php
wp-admin/bookmarklet.php
wp-admin/edit-comments.php
wp-admin/post.php
wp-admin/upgrade.php
wp-content/plugins/akismet/akismet.php
wp-includes/classes.php
wp-includes/comment-functions.php
wp-includes/default-filters.php
wp-includes/functions.php
wp-includes/functions-formatting.php
wp-includes/functions-post.php
wp-includes/links.php
wp-includes/pluggable-functions.php
wp-includes/registration-functions.php
wp-includes/template-functions-author.php
wp-includes/template-functions-category.php
wp-includes/template-functions-general.php
wp-includes/template-functions-links.php
wp-includes/version.php
wp-comments-post.php
wp-login.php
wp-trackback.php
xmlrpc.php

WordPress 2.1.3的更新有：

显示私有文章时，检查“阅读私有文章”权限而非“编辑私有文章”权限。[4971]
新增add_users_page()函数，用于向一级菜单“用户”下面添加子菜单。[4988]
将所有查询参数强制转换为字符串类型。可以解决当查询参数为数组时显示SQL查询错误信息的问题。[4991]
修复parse_w3cdtf()函数中的bug。[4998]
add_query_arg()和remove_query_arg()函数的返回值未做防XSS处理，因为它们的返回值可能被用于HTTP Header里的重定向地址。在这些返回值被作为HTML标签的属性输出到浏览器的时候，应该使用attribute_escape()函数进行处理以防XSS攻击。[5007] #3937
使用get_query_var()函数来获取一些参数，而不再使用全局变量。[5009]
Prophylactic casting(预防性强制类型转换)，对于一些浏览器发来的数据进行强制类型转换，以防XSS跨站脚本攻击。[5022] [5037] [5079] [5083] [5085] [5092] [5120]
对于已经登录的用户在再次登录时将忽略redirect_to参数，直接跳转到后台管理首页。[5023]
修正一处只兼容PHP5不兼容PHP4的地方。[5027]
在为文章指定新的分类时验证分类ID的正确性。[5030]
拥有unfiltered_html权限的用户在发表评论时评论内容不会被KSES检测，可能导致XSS攻击。而只有管理员和编辑员才有unfiltered_html权限，攻击者可以通过一次XSRF攻击来使管理员向自己的Blog发布一个评论，评论内容中包含XSS攻击代码。[5040] #3973 攻击描述
用attribute_escape()函数处理previous_posts()和next_posts()函数的输出。[5046]
用attribute_escape()函数处理$pagenow变量后输出。[5050] [5060]
Don’t cast to string if empty.(当变量为空时不要强制转换为字符串类型。)据说会影响到设置page为Blog首页的功能。[5052] #3979
在通过XMLRPC上传图片发生错误时输出更清楚的错误信息。[5055]
当输出src和href属性时，用clean_url()函数代替attribute_escape()函数进行处理以防XSS。[5057]
clean_url()函数里，不再给相对链接添加"http://"头。[5066]
使用clean_url()函数处理链接地址和链接RSS地址。[5069]
不再使用clean_url()处理编辑链接。[5073]
在通过XMLRPC发布文章时检查是否有发布文章的权限。[5075]
clean_url()函数中，当检测到地址包含".php"字样的相对链接时不再添加"http://"头。[5091] [5096]
Akismet插件，垃圾评论数被cache了。