WordPress如何在保存时清理帖子内容?或者不是吗?

时间:2017-10-19 作者:Marvin3

WordPress从管理区保存帖子内容时,是否对其帖子内容进行了任何类型的数据清理?(如剥离<script> 标签)或它所做的只是检查一些用户功能(如current_user_can(\'edit_posts\')?

我在问,因为我正在制作小部件插件:

它允许添加或编辑HTML内容,稍后将显示在前端

1 个回复
SO网友:janh

对什么安全?“合法用户可以输入任何HTML”是安全问题吗?

如果您可能处理来自某类但不是真正受信任的用户的数据,那么让管理员定义要删除哪些标记/属性(可选:每个用户组/角色)并让您的插件执行其余操作,或者通过过滤器运行内容,在过滤器中管理员可以使用add_filter?

结束
标签: security   validation   sanitization   小码农  

相关推荐

security issue in wordpress?

我已在中安装wordpresswww.mysite.com/user 现在假设有人熟悉wordpress,他/她可以通过www.mysite.com/user/memberswww.mysite.com/user/groups 甚至他都能看到www.mysite.com/user 没有登录到我的网站。有什么方法可以防止这种情况发生吗。类似于如果他没有登录或任何类型的重定向到特定url,访问就会被拒绝。或者你没有权限访问/members/ 在此服务器上。因此,我面临着很多问题。我使用frisco作为budd