这不是表单中的代码,而是如何处理表单数据。
我把这个放在我的主“包含”文件中;它清理所有输入数据。关键是在不验证表单数据是否有效的情况下,永远不要信任表单数据。这段代码在这方面很有帮助。
// this sanitizes all gets/posts for security
$_GET = filter_input_array(INPUT_GET, FILTER_SANITIZE_STRING);
$_POST = filter_input_array(INPUT_POST, FILTER_SANITIZE_STRING);
googles/bings/ducks拥有大量关于清理数据的资源。但以上是一个良好的开端,IMHO。
Added
输入表单上的代码不能保护任何内容。不需要它。
所需的保护在表单处理端,无论是哪一页。并且filter\\u input\\u array语句需要位于表单处理页面上。
您的代码所做的唯一可能的事情是过滤您在输入标记的“value”元素中使用的变量。例如,如果$name是有人填写的名称,而表单没有处理,或者您之前定义了$name,那么您编码可能会保护这些值。
但真正的保护是在您用来处理页面的代码中。我的filter\\u input\\u array语句将对此有所帮助,但您应该进一步确保变量是“安全的”。
(顺便说一句,这不是WordPress开发的问题。最好研究一下Stack Overflow 论坛。)
