我惊讶地发现，当使用post editor页面上的默认/内置自定义字段创建post meta时，它允许您输入如下标记：

<a>,<script>,etc. 

然后我意识到您也可以输入：

<script> </script> 

进入“发布内容”框。是否有办法钩住验证并使其无法输入脚本？

我是否错误地认为，可以访问后端的黑客可以使用这些字段将恶意脚本获取到数据库？

我想我只是有点困惑，因为在使用设置api（甚至创建自定义元盒）时，对正确验证/转义的强调太多了。然而，在帖子页面上，你可以输入你想要的任何内容？谢谢