関数リファレンス/wp nonce field

フォームにhiddenフィールドとして追加するためのnonceを取得または表示します。

nonceフィールドはフォームの内容が現在のサイトから来たものであり、他のサイトからではないということを認証するために使われます。nonceは完全な保護を提供するものではありませんが、ほとんどの場合は有効な保護になります。フォーム内でnonceフィールドを使うのは重要です。

$echoをfalseに、$refererをtrueにした場合はwp_referer_field()を使ってリファラーのフィールドを取得する必要があります。$refererをtrueにし、nonceフィールドを出力した場合は、リファラーフィールドも出力されます。

$actionと$nameはオプションですが、セキュリティを高めたい場合はこの二つのパラメータを設定することをお勧めいたします。パラメータなしで関数を呼び出すのが簡単ですが、nonceがなんのパラメータも必要としなくなってしまうので、デフォルト値が何かをしっているクラッカーにとってあなたのnonceを推測して被害を与えるのが簡単になってしまいます。

inputのname属性は$nameに設定したものになります。inputのvalue属性は作成されたnonceの値になります。

<?php wp_nonce_field( $action, $name, $referer, $echo ) ?>

$action

（string） （optional） アクション名

初期値： -1

$name

（string） （optional） Nonce の名前

初期値： "_wpnonce"

$referer

（boolean） （optional） 初期値はtrue。認証用のrefereフィールドを設定するか否か。

初期値： true

$echo

（boolean） （optional） 初期値はtrue。hiddenフィールドをフォームに出力するか否か。falseの場合はPHPの値として返す。

初期値： true

(string) 

Nonceフィールド

• Since: 2.0.4

wp_nonce_field()はwp-includes/functions.phpに定義されています。

• Wordpress Nonce Implementation
• wp_create_nonce
• check_admin_referer
• wp_verify_nonce