您当前的位置:首页 > TAG信息列表 > sanitization
在不进行清理的情况下更改用户昵称
如何从中删除消毒edit_user_profile 行动我可以使用以下代码更改user\\u nicename:function ex_insert_nicename_input( $user ) { $content = ob_get_clean(); // Find the proper class, try to be future proof $regex = \'/<tr(.*)class=\"(.*)\\buser-user-lo
在wp_INSERT_POST之前清理用户输入字段
我读过如何清理、验证和转义文本字段,我知道wp_insert_post 使用清理所有字段wp_kses HTML标记除外。然而,我对开发还不熟悉,希望得到确认,我会去正确的地方。现在,我正在创建用户提交前端表单。有几个输入字段,1) 帖子标题,类型:text,我使用的清理方法:sanitize_text_field( $_POST[\'post_title\'] )2) 发布内容,类型:textarea,我使用的清理方法:None,因为允许使用html标记,例如,<h1> 或<img&g
转义电子邮件或纯文本时使用哪个转义函数?
我已经向WordPress repo提交了一个插件,他们回来后说,我需要对我的电子邮件发送代码中的值进行转义,而不是进行清理。所以我不知道他们想让我使用什么功能。你能给我提供关于我应该使用的最佳转义函数的建议吗email 和plain text? 他们希望我逃避而不是清理的现有代码:$message = \" ... <li><strong>Email:</strong> \" . sanitize_email($_REQUEST[\'email
清理WordPress数组输入?
我有一个以数组格式提交数据的表单。我已清理了所有数据,并尝试使用esc_attr, 但这是一种逃避而非消毒的功能。是否有更好的方法来清理整个数组(使用文本值)而不是每个单独的值。$array = array_map( \'esc_attr\', $array );我们如何确保数据被清理,而不是仅仅转义?
使用wp_Query匹配字符串(标题)时出现问题
我正在修复一个旧网站,我们将两种类型的帖子的标题进行匹配,以将它们链接在一起。有一个wp_query 其中使用\'title\' => get_the_title() 这样做,但它只在某些时候起作用。我的第一个解决方案是使用html_entity_decode(). 这适用于90%的案例,我需要保留此处理来处理这些帖子。然而,我现在遇到了一个特殊的异常值,它的标题如下It’s Raining Outside My Mother’s House.如果我比较== 这两个值在没有预处理的情况下返回true
在用户简介中显示换行符,而不使用html
用户使用强大的表单填写用户简历。它正确保存,并在“用户概述”页面上的Worpdress admin中以换行符显示。它在站点上显示,没有换行符。我找到的唯一解决方案是禁用HTML清理,手动编辑每个配置文件并添加<p> 或<br> 标签不是理想的解决方案。这并不理想,因为它支持所有HTML,并且需要手动编辑每个概要文件。我想显示的是换行符,因为它们最初是在Wordpress中输入和保存的。这将允许用户在不使用HTML代码的情况下添加和更新其配置文件的简单工作流。谢谢
复制以元形式存储的内容以发布内容
我正在一个网站上工作,该网站有一个使用元字段存储块的现有主题(IMO的坏做法是预块编辑器)。问题是有300多个帖子,所有不同的;“块”;存储在看起来像重复的元字段中(即flexible\\u content\\u 1\\u content、flexible\\u content\\u 2\\u content等)。有人知道使用WP CLI或自定义代码将元数据内容复制到post内容的方法吗?如果我可以在块编辑器中将元数据复制到单独的块中,则会获得额外的分数。
如何转义$_GET并检查是否已设置?
我向wordpress提交了一个插件,我得到了一个反馈,我必须逃离这个插件$active_tab = isset( $_GET[ \'tab\' ] ) ? $_GET[ \'tab\' ] : \'front_page_options\';如果我喜欢的话$get_the_param = esc_html($_GET[ \'tab\' ] );$active_tab = isset( $get_the_param ) ? $get_the_param : \'front_page_options\';
MITM risk of not sanitizing?
插件审查小组拒绝了我的插件,因为他们说我没有清理数据。以下是片段:function add_cookie_to_order( $order_id ) { if ( isset( $_COOKIE[\'tm_clickid\'] ) && preg_match( \'/^[A-Z][A-Z][A-Z]?[0-9a-f]{32}$/\', $_COOKIE[\'tm_clickid\'] ) ) { update_post_meta( $order_id
WordPress在短码输出中处理数据属性
我已经构建了一个短代码来插入行动号召文本和按钮/链接。按钮/链接应打开带有联系人表单的模式窗口。因此,我为引导模式的按钮/链接添加了数据属性。好的但输出显示数据属性混乱。而不是data-toggle="modal" 它显示data="-" toggle="modal" 而不是data-target="#hidden-contactus-form" it显示target="#hidden-contactus-form&
验证和清理REST API中的JSON响应的正确方法是什么?
我已经阅读了WordPress page了解此问题,但未找到解决方案。以下是我的详细信息:注册rest路由:register_rest_route( \'/jwt-auth/v1\', \'/user\', array( \'methods\' => array( \'GET\', \'POST\', \'PUT\' ), \'callback\' =>
如果定制后的meta稍后会被转义,我是否应该对其进行清理?
首先,如果这之前已经得到了正确的回答,那么很抱歉。在阅读了大量的问题和指南之后,我仍然不完全相信做事情的最佳方式。我了解XSS和SQL注入漏洞的基本知识。我理解数据验证、清理和转义之间的区别。当谈到Wordpress以及清理和转义时,我经常看到有人建议使用Wordpress的默认功能将用户输入存储到数据库中,并尽可能晚地转义。然而,在许多情况下,人们建议在将输入保存到db之前对其进行清理:https://stackoverflow.com/questions/59692734/sanitize-wordp
清理、验证和转义WordPress(插件)
我目前正在开发我的第一个WordPress插件。几天前,我把它提交给WordPress审查。不幸的是,插件还没有发布,因为我还需要解决一些安全问题。更具体地说,它是关于数据必须经过清理、转义和验证的事实。不幸的是,我在开发过程中完全忘记了这一点。现在,我已经通过文档熟悉了上述原则,我想我现在已经理解了它们,但是我仍然不确定如何在某些地方实际应用这些原则。1. Highlight the active menu item为了突出显示活动菜单项,我编写了一个小助手函数:protected function g
Input sanitation
我有一个关于我最近为客户开发的wordpress网站的问题。直到现在,我才为只需要个人网站的小客户开发了一个网站,但是这个客户要求我重新开发他的网站,因为当前的网站存在很多安全问题。无论如何,我已经创建了这个网站,并向他展示了它,他问我是否可以“应用输入卫生条件,以便使用诸如@、&;、-、+、%不允许“登录”字段。因此,我的问题是Wordpress是否需要进一步开发以停止登录表单上的SQL注入等?我是否需要对登录字段应用输入卫生</当特殊字符更适合用作密码时,不允许使用特殊字符似乎很奇怪,所以
清理注释或转义COMMENT_TEXT()
我正在WordPress网站上创建评论模板。我注意到<script>alert(1);</script> 使用comment_text() 函数以显示我的评论。No bueno.如何正确清理和/或转义WordPress评论?这个esc_html() 函数,在这种情况下似乎没有任何作用。
WordPress会清理WP_QUERY的参数吗?
这是一个非常直截了当的问题,但它很重要,我在文件中找不到任何明确的内容。This question 针对\'s\' 参数。我想知道WordPress是否验证/清理any 其他参数。例如,在tax_query 是否自动进行消毒?Clarification:这是一个技术/工程问题,具体涉及WP\\U查询类对特定参数的作用。最近的几个答案提供了有关验证/消毒的哲学建议和一般最佳实践。但这不是这个问题的重点。我的目标是收集事实而不是观点。
在发送到“%s”参数之前,是否需要清理$_POST[‘Keyword’]?
有人知道如何清理wordpress的$\\u帖子吗?$args = array( \'s\' => esc_attr( $_POST[\'keyword\'] ), );
未调用设置API-SANITIZE_CALLBACK,导致行为不正确
我正在为我的插件创建一些选项/选项页面。在本文的上下文中,我只添加了两个复选框来存储布尔值。创建、在页面上显示和保存效果良好。关于未来的选项,我想测试选项的有效性。为此,我创建了函数;“清理\\u选项”;,它现在只返回作为测试接收的参数。public function sanitize_options( $data ) { return $data; } 我将函数名传递给函数;register\\u settings“注册设置”;作为参数。register_set
无法使‘SANITIZE_CALLBACK’用于REST参数
我正在尝试使用sanitize_callback:register_rest_route( SoundSystem::$rest_namespace, \'/playlist/new\', array( \'methods\' => WP_REST_Server::CREATABLE, \'callback\' => array( __class__, \'rest_add_playlist\' ), \'permission_callback\' =>
从admin中删除tinyMCE并用文本区域替换
我创建了一个插件,其中我有一个自定义的帖子类型。我正在使用post_content 对于一些简单的文本。我不需要为这个字段提供任何花哨的编辑或数据插入,所以我寻找了一种从tinyMCE编辑器中删除按钮的方法。我从来没有找到一个很好的解决方案,所以我删除了editor 来自register函数中的自定义post类型支持。\'supports\' => array(\'title\',\'revisions\',\'thumbnail\'), 然后,为了创建一个区域来存放内容,我只需回显tex