SANITIZE_TEXT_FIELD()是否足以保存到数据库?

时间:2016-05-16 作者:KestutisIT

情况就是这样。我们允许用户输入输入数据,即user\\u first\\u name和user\\u additional\\u注释。然后我们使用sanitize\\u text\\u field(),它被命名为save。

但在此过滤器之后:

Thomas\' OR SELECT * FROM wp_user

仍以全文形式保存到数据库中。和\' 字符未转义为'\\\'.

我使用$wpdb->query("INSERT INTO A (a,b,c) VALUES (\'{$a}\', \'{$b}\', \'{$c}\')"); 所以这里$a必须是一个有效值,可以插入db。我有理由不使用insert()、prepare()等特定函数,因此我需要确保$a有效且安全。如何确保像姓氏或注释这样的文本数据。

那么这是不是破坏了安全?

0 个回复
标签: database   security   sanitization   小码农  

相关推荐

Sucuri SiteCheck在使用iThemes Security Pro插件的域上失败

我在我的几个网站上安装了iThemes Security Pro插件。最近,我注意到我的Sucuri SiteCheck(自动和非自动)扫描都失败了,但我不知道为什么会这样。日志也不明确,告诉我:Unable to properly scan your site. Timeout reached.下面是插件给我的原始日志。如果有人能告诉我问题出在哪里,我将不胜感激。我没有在插件或Apache级别启用防火墙,尽管我启用了ModSecurity。但是,每当我尝试SiteCheck时,ModSecurity的日