Les Nonces WordPress sont utilisés dans les formulaire sous WordPress afin de prévenir les erreurs et les attaques.

L' API des plugins WordPress met à disposition plusieurs fonctions, filtres et hooks pour la gestions des nonces.

Pour plus d'informations sur les nonces et leur utilisations, référez-vous à:

• Rémi Corson - Utilisation des Nonces dans WordPress (en français)
• Mark Jaquith - WordPress Nonces (en anglais)
• Vladimir Prelovac - Using Nonces in WordPress Plugins (en anglais)

Fonctions relatives aux nonces

Voici la liste des fonctions relatives aux nonces dans le Function Reference:

• wp_nonce_field
• wp_nonce_url
• wp_verify_nonce
• wp_create_nonce
• check_admin_referer

Exemple d'utilisation des nonces dans un formulaire

Creation du formulaire en HTML :

<form id="form_id" method="POST" action="">
	<?php wp_nonce_field( 'what-who_which', 'securite_nonce' ); ?>
	// Autres balises input, etc
	<?php submit_button(); ?>
</form>

Traitement du formulaire en PHP avec wp_verify_nonce :

add_action('init', 'traitement_des_donnees');
function traitement_des_donnees() {
 
	if ( ! isset( $_POST['securite_nonce'] ) ) || ! wp_verify_nonce( $_POST['securite_nonce'], 'what-who_which' ) ) {
 
		// le formulaire est refusé
		wp_nonce_ays( '' ); // ou wp_redirect( home_url() ); die();
	}
	// Le formulaire est validé et sécurisé, suite du traitement

}

ou

Traitement du formulaire en PHP avec check_admin_referer :

add_action('init', 'traitement_des_donnees');
function traitement_des_donnees() {
 
	check_admin_referer( 'what-who_which', 'securite_nonce' ); // Si le nonce n'est pas valide, WP fera un wp_die().
 	// Le formulaire est validé et sécurisé, suite du traitement

}

Articles liés à l'utilisation des nonces

• Creating Options Pages (en anglais)
• Plugin API/Filter Reference (en anglais)
• Plugin API/Action Reference (en anglais)

Ressources sur la sécurité des nonces

• Cross-site request forgery article on WikiPedia (en anglais)