您当前的位置:首页 > TAG信息列表 > sanitization
Wp_INSERT_POSTS()有多安全?
看看法典wp_insert_post() 它声明此函数“…清理变量,进行一些检查,填写缺少的变量,如日期/时间等”(编辑:Iupdated the Codex entry 包括一个更健壮的示例,其中包括安全性以及后元和类别分配)我只是想知道我是否需要做进一步的清理以防止XSS黑客之类的攻击,或者是否通过该函数做了足够的工作。老实说,我已经检查了core中的函数,没有发现任何wp\\u kses()或其他对post\\u内容的清理,所以我有点担心。我所能看到的只是数据上的stripslashes\\u de
wordpress sanitize array?
我有一个自定义的post表单,它将数据发送到使用wp\\u insert\\u post创建post的页面。我可以轻松清理大多数数据,但我的标记有一些问题,我在数组中检索:$tags = $_POST[\'tags\']; 在将这些标记用作tags\\u输入之前,如何成功清理所有名称?谢谢
用户注册和用户登录的数据清理
如果我为wordpress用户建立前端登录和注册系统,我必须做什么样的数据清理?登录功能wp_signon() 我应该为可能的sql注入转义数据,还是wordpress会自动为我这么做</到目前为止,我已经找到了两个注册函数wp_insert_user() 和wp_create_user() 和用于更新用户wp_update_user()</对于注册功能,我想wp_create_user() 将为我做这项工作。再说一遍,我应该做多少消毒?我需要进行密码哈希吗?我还在的函数参考页上找到了一些过滤
是否应该通过esc_html()和wp_kses()传递HTML输出?
我对esc_html() 和wp_kses(). 我明白这一点esc_html() 将特殊字符转换为其HTML实体wp_kses() 删除不需要的标签(例如。,<script>), 但我不确定在什么情况下它们应该一起使用还是分开使用。如果我通过esc_html(), 然后任何JavaScript都将以纯文本显示,而不是由浏览器呈现,因此在这一点上是安全的,对吗?唯一的理由是也要经历wp_kses() 是为了避免显示原始脚本?大体上esc_html() 使其安全,并且wp_kse
使用POSTS_WHERE挂接时的卫生处理
我正在修改WordPress查询,使用posts_where 钩子,当(自定义)查询变量设置如下时:add_filter(\'posts_where\', \'my_posts_where\' ); function my_posts_where( $where ){ global $wp_query; if( isset( $wp_query->query_vars[\'customvar\'] )) { $custom_V
清理搜索数据以与WP_QUERY一起使用
我正在使用大量定制的WordPress来驱动一个养鱼网站。我有两个独立的搜索区域:一个站点范围的搜索和一个鱼类物种搜索。后者还具有高级搜索功能,可以搜索“物种”自定义帖子类型中的某些元值(例如,允许用户搜索可以保持在特定水硬度的鱼)。我想使用search.php 来处理所有这些,所以我用WP_Query. 搜索表单包含以下内容<input type=\"hidden\" name=\"type\" value=\"species\" /> 指定正在执行的搜索类型。我使用的代码如下:<?p
Esc_html和wp_filter_nohtml_kses有什么区别?
两者之间的确切区别是什么esc_html 和wp_filter_nohtml_kses. 我到处看都说all html,我能看到的唯一区别就是它们是如何做到这一点的。做esc_html 对标签进行编码wp_filter_nohtml_kses 把它们全剥了?
Contact Form Security
在Wordpress中构建我自己的联系人表单。除了典型的电子邮件etc验证和可能的验证码之外,我还需要考虑任何其他安全步骤。我没有向数据库发送任何数据。
Strid_tag和wp_filter_nohtml_kses有什么不同?
两者的区别是什么strip_tags 和wp_filter_nohtml_kses. 我试图从源代码中找出wp\\u filter\\u nohtml\\u kses,但看起来它做的事情比剥离所有html要复杂一些,尽管这是codex所说的。我认为kses函数很昂贵,所以我想知道如果它所做的只是剥离html,为什么不使用strip\\u标记。
内联Java脚本的数据验证
我尝试在wp选项表中保存内联javascript(谷歌分析代码)。但我不知道应该使用什么样的验证函数。我在保存到数据库时尝试了esc\\u js。但我不知道当我在头部回显它时该用什么。
设置API和参数中传递的数据
在设置API的一个示例中,有一个输入和回调函数来清理/验证此输入的结果:这是输入:echo \"<input id=\'text_string\' name=\'boj_myplugin_options[text_string]\' type=\'text\' value=\'$text_string\' />\"; 这是回调函数:function boj_myplugin_validate_options( $input ) { $valid[\'text_stri
清理帖子内容以在电子邮件中使用
我正在以纯文本电子邮件的形式发送自定义帖子类型的内容(这是为了将比赛条目发送给评委小组),因此我需要确保$post->post_content 首先正确消毒。是否有一个过滤器可以用于此,或者如果没有,我需要做什么消毒?更新:我刚刚发现wp_strip_all_tags 在里面wp-includes/formatting.php, 这就是我需要的吗?
WP_QUERY或GET_POST调用需要卫生设施吗?
我只是想得到一个直截了当的答案:当把query\\u vars提交给一个电话以获取帖子或WP\\u查询时,是需要卫生设施还是WordPress已经处理好了?
数据清理:代码示例的最佳实践
我试图理解数据清理(而不是数据验证),以帮助我为WordPress编写安全主题。我在互联网上搜索过,试图为主题开发人员找到一个全面的指南,详细介绍最佳实践。我遇到了一些资源,包括名为“数据验证”的codex页面,但没有一个对我有用。codex页面列出了可用的消毒功能、它们的用法以及它们的作用,但没有解释为什么要使用其中一种,或者在什么情况下要使用特定的消毒功能。这篇文章的目的是要求大家提供错误/未初始化代码的示例,以及如何重新编写以进行适当的清理。这可能是清理帖子标题或帖子thumnails src的通用
设置API-清理URL、电子邮件地址和文本
我正在征求关于如何编写此代码的最佳实践的建议。目前,我有简单的主题选项和文本字段,在我的模板中输出信息。我目前正在使用此代码进行设置api和纯文本清理。我的问题是,另一个设置字段是网站字段,也是电子邮件字段。我不确定是否必须创建另一个完整的主题选项、节和字段,以便可以直接单独清理已注册的设置(并对每种类型进行正确清理),或者是否可以在同一个主题中组合所有设置oem_theme_profile_options 卫生处理。我还不是最好的php高手。因此,从最佳实践的角度来理解这一点将有助于我对未来的教育,而不
如何在WordPress数据库中显示自定义表中的数据?
我想从我在wordpress数据库中创建的自定义表中检索数据,并将其显示在wordpress页面中,如posts提前感谢
Sanitize User Entered CSS
有人知道如何清理通过用户输入输入的CSS吗?我担心通过CSS编写跨站点脚本。我正在使用wp\\u filter\\u kses清理用户输入的HTML,但我需要一个类似于用户输入样式的解决方案。到目前为止,我正在使用以下丑陋且不完整的函数,但我希望得到更完整的函数。function sanitizeCSS ( $css ) { $css = str_replace( \'/-moz-binding/\', \'\', $css ); $css = str_replace( \
<?PHP ECHO$TITLE?>与<?PHP ECHO esc_html($TITLE);?>WordPress安全
阅读这篇伟大的文章Data Validation and Sanitization in Wordpress 我在我的博客标题中注意到了这一点。php,我用过<?php echo $title ?> 在一对代码中。根据上述情况article, 为了保护数据安全,必须验证数据本身,因为未经验证的数据容易受到黑客的攻击。根据作者的建议,我更改了我的首字母<?php echo $title ?> 进入<?php echo esc_html( $title ); ?>. 这是更
如何一劳永逸地消除帖子内容中的快捷码
我更改了主题/插件,现在帖子内容仍然显示短代码。关于隐藏它们有一些技巧,但每次我使用一些内容函数时,短代码就会再次出现。此外,我的短代码是“扩展类型”,例如[theshortcode id=\"34877\"], [theshort size=\"large\" \"tiny\"] 所以从数据库中删除它们的提示根本不起作用。
默认WordPress设置API数据清理
在我看来,当通过设置API将数据保存到数据库时,Wordpress默认会清理数据。我的意思是,如果我查看数据库中的原始设置选项,它们(至少)已经通过了wordpress等价的htmlentities()。是否有确切消毒过程的文件?我不想在我自己的验证函数中重复任何内容,我想确保我在回调时正确使用数据。。。。。UPDATE:为了回应克里斯托弗·戴维斯(ChristopherDavis)的回答,这里有一些更详细的信息。我正在使用register_setting 注册一组设置。此组是使用add_settings