Wp_INSERT_POSTS()有多安全?

时间:2011-07-29 作者:Tom Auger

看看法典wp_insert_post() 它声明此函数“…清理变量,进行一些检查,填写缺少的变量,如日期/时间等”(编辑:Iupdated the Codex entry 包括一个更健壮的示例,其中包括安全性以及后元和类别分配)

我只是想知道我是否需要做进一步的清理以防止XSS黑客之类的攻击,或者是否通过该函数做了足够的工作。

老实说,我已经检查了core中的函数,没有发现任何wp\\u kses()或其他对post\\u内容的清理,所以我有点担心。我所能看到的只是数据上的stripslashes\\u deep()。

那么,当我将参数构建到wp\\u insert\\u post()时,是否应该运行wp\\u kses()或其他任何操作?

这里的最佳做法是什么?该法典在其示例中对安全问题相当傲慢。

谢谢

1 个回复
最合适的回答,由SO网友:scribu 整理而成

你什么都不用做。

WP负载时:

\'init\' hook -> kses_init() -> kses_init_filters()

稍后:

wp_insert_post() -> sanitize_post() -> sanitize_post_field() -> \'content_save_pre\' -> wp_filter_post_kses()

类似于帖子标题、评论文本等。

结论:wp\\U insert\\U post()非常干净。:)

结束
标签: security   sanitization   小码农  

相关推荐

Security and .htaccess

大约一个月前,我在一个与爱好相关的托管服务器上创建了一个WordPress博客。所以,我目前还不熟悉这一点。由于我担心安全性,我做的一件事就是安装插件WP安全扫描。根据插件结果,我的网站会被检查出来,但我在结果中看到的是一个红旗:文件。wp admin中不存在htaccess/(我在那里ssh了,它不存在)好的,所以我在这个问题上做了大量的搜索,找到了太多的信息。htaccess。我在WordPress上经历了强化WordPress。org网站等,也遇到了这篇文章:http://digwp.com/201