gpt4 book ai didi

php - 使用设置 API 时,WordPress 是否会转义数据以防止 SQL 注入(inject)?

转载 作者:行者123 更新时间:2023-11-29 06:50:43 25 4
gpt4 key购买 nike

我很难找到有关此主题的任何信息。我正在创建一个插件,允许用户添加自定义 JS 代码,例如但不限于 Google Analytics。为此,我使用设置 API 创建了一个设置页面,其中包含一些 textarea字段。我使用以下页面作为指导:https://developer.wordpress.org/plugins/settings/custom-settings-page/ .

我的问题是,我需要做什么才能确保进入数据库的数据安全?或者它已经安全了(即被 WordPress 转义了)?我考虑过使用sanitize_textarea_field register_setting 回调中的函数然而,数据(例如 <script src="example.com/script.js"></script )在被 WordPress 序列化后,无论有没有清理功能,看起来都完全相同。

如果我使用设置 API,我是否可以安全地假设 WordPress 会转义进入数据库的所有数据,或者我是否需要编写自定义代码来执行此操作?如果是这样,如果我使用设置 API,转义数据的过程是什么?

最佳答案

是的,当您使用 WP API 时(不仅用于设置,还用于其他功能,例如 update_post_metawp_insert_post 等),WP 将确保数据在发送到数据库之前已被正确转义。

少数异常(exception)情况会明确说明您可以输入 SQL(例如 posts_orderby filter )。

除非数据中存在不安全字符(单引号!),否则在转义前后您不会看到任何变化。请注意,sanitize_* 函数不处理 SQL 注入(inject),而是尝试清理内容。

关于php - 使用设置 API 时,WordPress 是否会转义数据以防止 SQL 注入(inject)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47638248/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com