Actualmente estoy trabajando en la página de administración de mi tipo de publicación personalizada, y me quedé estancado al decidir si agregar un campo nonce nuevamente para el segundo metabox o no. Soy muy nuevo en los tipos de publicaciones personalizadas, y buscar en línea sobre esto realmente no produce tantos resultados.

¿Alguna idea? Gracias.

Lo recomendaría así.

Usted tiene (y debe) tener su propio nombre para verificar el origen de los datos y la intención del usuario. Si solo tiene un nonce para un metabox, entonces se encuentra con problemas si ese metabox se elimina (no es lo mismo que oculto). Si se elimina, el segundo metabox (o al menos debería) nunca se guardará ya que el nonce ya se envía.

Por supuesto, desde un punto de vista de seguridad, un segundo nonce no agrega nada, a menos que alguna vez desee actualizar solo un metabox y no el otro: nonces debe ser exclusivo de la acción .

Editar

Como se señaló, solo hay un formulario para la pantalla de edición posterior. Entonces, en teoría, solo necesita un campo nonce con el que validar la acción y el origen de los datos. Sin embargo, dado que los metaboxes se pueden eliminar, al tener un campo nonce en un solo metabox, no hay garantía de que el nonce esté allí. Al colocar un campo nonce en cada metabox, puede verificar si los datos de esa metabox han sido enviados (y en realidad provienen de donde cree que están) antes de procesar los datos. P.ej:

save_post_call_back($post_id){

  //Check this is not an auto-save route

  if(nonce of metabox1 present and valid){
     //Process data from metabox1
  }else{
    //Either metabox removed - or invalid nonce. Take no action.
  }

  if(nonce of metabox2 present and valid){
     //Process data from metabox2
  }else{
    //Either metabox removed - or invalid nonce. Take no action.
  }

}

El nombre del campo nonce debe ser exclusivo del metabox (y no entrar en conflicto con ningún otro nonces que esté presente en el formulario desde otros complementos).

El valor nonce debe ser exclusivo de la acción (y esto generalmente debe incluir el origen de los datos (por ejemplo, editar-publicar en lugar de editar rápidamente)). Por lo general, también incluyo el ID de la publicación.

También puede enganchar el cuadro de envío que nunca desaparece agregando el campo nonce

add_action( 'post_submitbox_start', 'theme_submitdiv_extra' );
function theme_submitdiv_extra()
{
  wp_nonce_field( 'theme_meta_box_nonce', 'meta_box_nonce' );
}

Luego, en su acción save_post:

if( !isset( $_POST['meta_box_nonce'] ) || !wp_verify_nonce( $_POST['meta_box_nonce'], 'theme_meta_box_nonce' ) ) return;

El campo nonce se usa para validar que el contenido del formulario proviene de la ubicación en el sitio actual y no de otro lugar.

códice: wp_nonce_field

solo se requiere un campo nonce por formulario , use más de uno ya que no tiene sentido para mí.

tal vez pueda investigar y usar check_admin_referer () para asegurarse de que su solicitud sea de una página de administración

En WP 3.5.2 ¡Toda la página de edición está envuelta en una etiqueta de formulario, por lo que NO debe agregar sus propias etiquetas de formulario! ¡Si aún así hace eso e intenta agregar otro meta cuadro personalizado, fallará al guardar y solo lo llevará a wp-admin home cuando intente guardar!

Además, NO agregue el campo NONCE ya que se supone que solo debe haber uno por formulario (¡esto también puede hacer que falle!) ¡Y la edición de la página ya tiene un campo nonce!

Editar:

La cuestión es 1) ya que solo hay una etiqueta de formulario para toda la pantalla de edición, como lo ha admitido el autor de la respuesta correcta, y 2) automáticamente se agrega un nonce . ¿Por qué tendrías que agregar más? Siempre tendrá el nonce pase lo que pase ...

En mi opinión, la intención es editar la página por contenido o metadatos, por ejemplo. un campo nonce ... Además, cuando intenté agregar más, ¡ni siquiera funciona con múltiples meta-cajas ! ¡Uno funcionará y el otro fallará y solo redirigirá al usuario a wp-admin home!