<div class="gmail_quote">On Sat, Oct 16, 2010 at 12:08 PM, Gene Robinson <span dir="ltr">&lt;<a href="mailto:emhr@submersible.me">emhr@submersible.me</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

Hi,<br>
<br>
I don&#39;t in any way claim to be an expert in theme security. I am wondering what are the basic requirements and or recommendations for reviews. I&#39;m finding the use of non-ssl capable functions get_option(&#39;home&#39;) and get_option(&#39;site_url&#39;) in links and the lack of wp_nonce_field() and check_admin_referrer() in theme options.</blockquote>

<div><br></div><div>get_option(&#39;home&#39;) and get_option(&#39;siteurl&#39;) should *not* be used in themes. I believe the guidelines say so.</div><div><br></div><div>bloginfo(&#39;url&#39;) (home URL) and bloginfo(&#39;wpurl&#39;) (site URL) are okay, as they simply call home_url() and site_url() respectively.</div>

<div><br></div><div>The lack of nonce and referrer checks are also a huge concern. Much more than lack of SSL support.</div></div>