谁负责WordPress开发中的数据清理?

时间:2017-01-19 作者:Mauro Bringolf

我正在研究如何通过在必要时实现验证、清理和数据转义来编写更安全的WordPress代码。验证和逃避很有道理,但我对消毒有点困惑。

如果我使用如下函数add_post_meta, 这个函数是否为我进行消毒?那么...怎么样set_option 或其他与数据库交互的。我通常通过这些函数与数据库交互。在哪些情况下,我需要自己担心消毒?

1 个回复
最合适的回答,由SO网友:Tom J Nowell 整理而成

是的,只要您使用API,WordPress将在数据传输到数据库的过程中对数据进行清理。

如果您使用wpdb 对象,但您需要使用prepare 方法进行消毒。我建议不要编写SQL查询,因为它会绕过对象缓存等,但如果必须编写自己的SQL,请使用wpdb 准备并执行

对于呼叫,如WP_Query, get_posts, add_post_meta 发生etc etc消毒

请注意,这纯粹是DB清理,您需要的任何其他清理或验证,如修剪尾随空格、验证URL、剥离标记、转义等,都必须在代码中完成

标签: database   security   customization   validation   sanitization   小码农  

相关推荐

cannot connect database

我是wordpress的新手。我计划从我自己的php代码连接wordpress数据库。但我在尝试连接数据库时遇到问题,每次连接都会得到错误结果。im使用此代码$user_name = \"myusername\"; $password = \"password\"; $database = \"mydatabasename\"; $host_name = \"localhost\"; $connect_db=mysqli_connect($host_name, $