您当前的位置:首页 > TAG信息列表 > sanitization
如何从插件清理上传的文件文件名?
WordPress表单管理器插件存在问题,无法清理上载的文件名。因此,例如,当用户上载文件名中包含特殊字符的照片时,您将无法在前端显示它。我的问题是,我怎样才能净化它?附言:我已经向插件的作者提出了这个问题。
插件在哪些环境中负责数据验证/清理?
我想确保插件/主题中的所有数据在进入数据库和输出到浏览器之前都得到了安全处理。我的问题是,有些情况下,API会为您处理清理,比如在保存post meta字段时,还有一些情况下,插件/主题作者会全权负责,比如在保存自定义设置时。对于这个问题的范围,我不关心在域级别验证数据,例如,检查表单上的年龄字段是否在0到120之间,或者电子邮件地址是否有效。我只关心安全性——例如,在保存到数据库时,转义SQL查询以避免SQL注入,或者清理输出到HTML模板的数据以避免XSS。对于输出清理,我知道您始终需要使用以下函数e
WP_SANITIZE_REDIRECT去掉了@符号(甚至从参数中)--为什么?
在我的Wordpress站点中,我有一个黑客,它查看uri并重定向到子域。问题是wp_redirect 呼叫wp_sanitize_redirect 这将使@ 签名,因此当用户尝试加载以下内容时[email protected] 加载的页面应为[email protected] 但事实上prefix.oursite.com?email=foobar.com (i.e. - no @ sign) 这个问题很容易解决-
如何使用WordPress函数正确验证来自$_GET或$_REQUEST的数据?
我正在开发一个插件,它需要对内容输出进行即时操作。这完全取决于电流$_GET 变量或$_REQUEST 变量根据变量的设置,它将调用某个类方法来处理用户的请求并显示适当的内容。我完全了解Data Validation 然而,我不确定我的方案或任何消毒方案的最佳方法是什么$_GET 变量或$_REQUEST 这方面的变量。如何使用WordPress函数清理$_GET 变量或$_REQUEST 将匹配以调用特定类方法的字符串的变量?Could this be exploited or fail given t
WP不显示数组自定义域吗?
我想知道为什么WordPress没有列出PHParray() 以及管理面板中自定义字段中的任何序列化数据(用于页面、帖子等)?仅显示包含字符串和数字的自定义字段,用户可以手动编辑这些字段。编辑:如果post元数据存储为非字符串值,即存储为数组或序列化值,为什么不显示它们?示例:如果一篇文章有一个元键“custom meta”,字符串值为“yes”,则会显示在元框中,但如果它有一个数组值,如array(\'value\' => \'yes\'), 它不会显示在元框中。我可以启用此功能吗?
如何对多个复选框组使用Checked()函数?如何正确清理该复选框组?
我正在使用underscores (_s) theme 要构建一个主题选项页面,我在页面上有一组复选框。在下面的示例中,为了简单起见,我只包含了2个。我的问题是:保存时,下面的checked()函数中有什么使每个复选框保持选中状态?我必须对照DB中的值检查每个值是否正确</如何正确清理这组复选框?他们似乎把钱存到了DB的账上,但我知道我做错了什么</以下是每个相关代码块:// register setting register_setting( \'options\',
使用WordPress转义URL中的日期字符串
我正在创建一个Wordpress页面,该页面根据通过\\u GET变量设置的日期变量搜索帖子。我想确保我以尽可能最好的方式完成了这项工作,并且正确地清理了输入,我还没有对php进行过太多清理。这是我的代码,它运行正常。我需要的变量格式是“2012年12月17日星期一”,我还需要做更多的工作来清理GET变量吗?如果我需要进一步解释,请告诉我。提前感谢!if ( isset ( $_GET[\'new_date\'] ) ) { $display_date =$_GET[\'new_date\'];&
如果用户名包含@符号,则使其无效
我想让用户使用用户名或电子邮件登录。找到电子邮件的唯一方法是检测@ symbol 使用strpos.但是WordPress允许@ symbol 在里面username too.如果用户名中包含@符号,有人能帮我使其无效吗。。
清理自定义查询的子句
我正在尝试构建一个自定义查询,很像WordPress“native”中的查询get_posts() 在…内wp-includes/query.php, 意思大致如下:global $wpdb SELECT * FROM $wpdb->my_custom_table custom WHERE 1=1 $conditions $orderby 我希望能够apply_filters 到变量$conditions 和$orderby, 同样很像WP自己的功能
从选项页面中的文本区域到前端要执行的操作
我在插件页面上有一个文本区域,用于小的css增强,我将它们直接输出到头部。我的问题是如何清理CSS我为选项注册了验证函数register_setting. 立即在设置页上$output[\'css\'] = (string) $input[\'css\']; 这就是我正在做的一切。我是否应该逃避它?word与它有什么关系?对于数据库,它本身是否有一些转义?我可以在这里进行一些邪恶的注射。对于输出,我使用esc_attr() 到目前为止,它工作得很好,但我只是想问一下,是否有更好的东西。我刚测试过\" 它们
注意:未定义的索引:在Options-Framework.php中
我在选项框架中生成以下通知。php。注意:未定义索引:在选项框架中。php我认为这与卫生处理有关,但不知道如何解决这个问题。我在选项中定义了以下数组。php// Pull all the custom taxonomies into an array $options_password_taxonomies = array(); $taxonomies_password_terms_obj = get_terms(\'password_gallery_category\'); fo
当我使用地址斜杠时,WordPress添加了第二个反斜杠
我不知道为什么,但当我使用以下函数时,wordpress似乎在添加第二个反斜杠:addslashes($str_with_single_quotes) addslashes(stripslashes($str_with_single_quotes)); esc_sql($str_with_single_quotes) str_replace(\"\'\", \"/\'\", $str_with_single_quotes) 我所做的是从不同的API获取数据,然后将这些数据
从短码属性转义引号
我一直在试图找出如何从短代码属性中转义引号(单引号和双引号)。基本上,内容是由用户编写的,因此可能会包含“and”引号。问题是,使用“引号”会阻止shortcode属性的功能,例如:attibute=“此处的一些文本带有“引号”,因此它会停止属性…”因此,它不是获取整个字符串,而是在第二对引号处停止。现在,我知道可以使用单引号进行设置,但如果用户在文本中使用单引号,则会留下同样的困境。我已经研究了各种PHP/WP解决方案,但我似乎无法让它们中的任何一个正常工作,例如esc\\U html、htmlspec
Change filename during upload
我检查下面的答案,在上传过程中重命名文件,并尝试将其更改为类似postid\\u originalfilename的内容。jpg但失败。有什么帮助吗?function make_filename_hash($filename) { $info = pathinfo($filename); $ext = empty($info[\'extension\']) ? \'\' : \'.\' . $info[\'extension\']; $name = basename($filen
如何在不使用$wpdb->Prepare的情况下正确清理字符串?
我正在进行高级搜索(使用自定义sql查询),查询字符串是使用变量形成的。例如,如果此人选中一些选项,则只有这些条件才会添加到WHERE子句中。我不能使用$wpdb->prepare, 因为我希望能够向查询字符串中添加如下所示的变量:$var = \"AND pm.meta_value = \'%$_POST[\'val\']%\'\"; 我看着like_escape(), 但文件上说:清理$字符串,以便在SQL查询的类似表达式中使用。Will still need to be SQL e
Output Sanitation
我已经在WordPress中阅读了WP codex和一些关于数据验证和卫生的教程。现在我有了这个简单的示例代码:$title = \"<script>alert(\'Test\')</script>\"; echo esc_html($title);根据教程和法典,这应该是输出:<script>alert('test')</script>但
自动发帖,从外部数据填充模板并更新期刊
嗨,我想实现以下目标,并寻求建议开始Szenario我们有一个外部mysql数据库,其中包含产品信息。该数据库正在为一些在线商店提供数据。可以通过mysql连接直接访问数据库,或者按照我喜欢的方式,通过自主开发的API访问数据库。(http请求)。结果可以作为JSON格式的数组获取。我们现在需要在不同的服务器/国家/地区上使用多个wordpress环境,并显示过滤后的产品信息。我们想为一个特定的产品分支(例如照明用品)建立一个“广告博客”。每个产品作为wordpress帖子如果我想在特定博客中添加新产品广
设置API未触发Sanatize回调
我正在为自定义主题创建一个自定义设置页面,但是没有调用用于对字段中的数据进行sanatizing的回调(我在其中设置了xdebug断点以进行检查)。/** *------------------------- Admin Page Titles ------------------------- */ function header_options_text() { echo \'<p>These options affect the Head
我如何清理一个javascript文本?
我有一个textarea,它将接收一个js片段(Google Analytics)。有没有办法净化?既然我不能使用像wp\\u filter\\u nohtml\\u kse()这样的函数,我应该使用什么?
Cookie在被保存之前需要进行卫生处理吗?
我最近写了一个插件,现在我正在回溯一些,以清理所有用户输入。我知道我应该清理来自$_GET 或$_POST 因为用户可以在其中插入恶意脚本。我也在清理我通过get_options 用户输入只是为了安全(不确定options.php API净化,但这是另一个问题)。但是饼干呢?这些需要消毒吗?如果是,怎么做?以下是我的功能:$get_cookie_check = wp_kses($_GET[\'view_full_site\'],null); //sanitize user input $site_