WordPress 输入安全
像素鱼丸
2024-05-04
WordPress 主题开发
606

消毒是清理或过滤您的输入数据的过程。 无论数据来自用户还是API或Web服务,当您不知道期望或不想严格的数据验证时,您都可以使用清除信息。

消除数据的最简单方法是使用内置的WordPress功能。

消毒系统的帮助函数提供了一种有效的方式来确保您最终获得安全的数据,并且您需要尽可能少的努力:

sanitize_email()
sanitize_file_name()
sanitize_html_class()
sanitize_key()
sanitize_meta()
sanitize_mime_type()
sanitize_option()
sanitize_sql_orderby()
sanitize_text_field()
sanitize_title()
sanitize_title_for_query()
sanitize_title_with_dashes()
sanitize_user()
esc_url_raw()
wp_filter_post_kses()
wp_filter_nohtml_kses()

提示:每当您接受潜在的不安全数据时,重要的是验证或清除它。

示例 – 简单的输入字段 假设我们有一个名为title的输入字段。

<input id="title" type="text" name="title">

您可以使用sanitize_text_field()函数来清理输入数据:

$title = sanitize_text_field( $_POST['title'] );
update_post_meta( $post->ID, 'title', $title );

在幕后,sanitize_text_field()执行以下操作:

检查无效的UTF-8
将单个小于字符(<)转换为实体
贴上所有标签
删除换行符,标签和额外的空格条字节
输出安全
转义有助于在为最终用户呈现数据之前保护您的数据,并防止XSS(跨站点脚本)攻击。

WordPress有一些帮助功能,您可以用于大多数常见的场景。

esc_html() – 当HTML元素包含显示的数据部分时,可以使用此功能。

<?php echo esc_html( $title ); ?>

esc_url() – 对所有URL使用此功能,包括HTML元素的src和href属性中的URL。

<img src="<?php echo esc_url( $great_user_picture_url ); ?>" />

esc_js() – 使用此功能进行内联JavaScript。

<a href="#" onclick="<?php echo esc_js( $custom_js ); ?>">Click me</a>

esc_attr() – 将此功能用于打印到HTML元素属性中的所有其他内容。

<ul class="<?php echo esc_attr( $stored_class ); ?>"> </ul>

esc_textarea() – 对textarea元素内的文本进行编码。

<textarea><?php echo esc_textarea( $text ); ?></textarea>

提示:输出转义应尽可能晚。

随着本地化逃脱 而不是使用echo输出数据,通常使用WordPress本地化函数,如_e()或__()。

这些函数只是将定位函数包含在转义函数中:

esc_html_e( 'Hello World', 'text_domain' );
// same as
echo esc_html( __( 'Hello World', 'text_domain' ) );

这些帮助函数结合本地化和转义:

esc_html__()
esc_html_e()
esc_html_x()
esc_attr__()
esc_attr_e()
esc_attr_x()

自定义转义
在需要以特定方式转义输出的情况下,函数wp_kses()(发音为“kisses”)将派上用场。 例如,有些情况下,您希望在输出中显示HTML元素或属性。

此功能确保只有指定的HTML元素,属性和属性值才会在输出中出现,并对HTML实体进行规范化。

$allowed_html = [
    'a' => [
        'href' => [],
        'title' => [],
    ],
    'br' => [],
    'em' => [],
    'strong' => [],
];

echo wp_kses( $custom_content, $allowed_html );
wp_kses_post() 是wp_kses的包装函数,其中$ allowed_html是一组由帖子内容使用的规则。

echo wp_kses_post( $post_content );

数据库转义
执行SQL查询之前,SQL查询中的所有数据都必须进行SQL转义,以防止SQL注入攻击。 WordPress提供帮助类来协助转义SQL查询$wpdb。

查询数据 转义的SQL查询(在此示例中为$ sql)可以与以下方法一起使用:

$wpdb->get_row($sql)
$wpdb->get_var($sql)
$wpdb->get_results($sql)
$wpdb->get_col($sql)
$wpdb->query($sql)

插入和更新数据

$wpdb->update()
$wpdb->insert()

预处理

$wpdb->prepare()
文章版权声明
收藏
打赏
WordPress 语言文件
上一篇
WordPress 路由
下一篇

发表评论

注册不是必须的

推荐

WordPress 发送邮件

WordPress 发送邮件

一,WordPress 默认发送邮件的函数 参数:$to (string|array) (Required)收信人地址,多个收信人使用数组形式。$subject (string) (Required) 邮件主题$message (string) (Required) 邮件内容$headers (string|array) (Optional) 额外的头部。 Default value: ” $at […]
WordPress 主题开发
像素鱼丸
2023-07-26
1.6千 0 0
WordPress JWT 教程2: 完成一个更新用户信息的接口

WordPress JWT 教程2: 完成一个更新用户信息的接口

当然可以!下面是一个 安全、完整 的 WordPress REST API 接口示例,用于 让用户修改自己的信息(如昵称、邮箱等),并且在接口内部 通过 JWT 验证后自动获取当前用户的 ID,确保用户只能修改自己的资料。 ✅ 前提:你已经按照上一回答配置好了 firebase/php-jwt 并能成功验证 Token。 ✅ 目标 路由:POST /wp-json/my-jwt/v1/update […]
WordPress 主题开发
像素鱼丸
12-31
264 0 0
Woocomerce 代码获取产品列表

Woocomerce 代码获取产品列表

在WordPress中,如果你使用的是WooCommerce插件来管理产品,你可以通过WooCommerce提供的函数和WordPress的查询功能来获取产品列表。下面是一个简单的示例代码,展示如何获取并显示产品列表: // 确保在适当的地方添加此代码,例如在你的主题文件中或通过创建一个自定义插件 if (function_exists('wc')) { // 创建一个新的WP_Query对象来获 […]
WordPress 主题开发 woocomerce
像素鱼丸
08-20
340 0 0
WordPress 设置菜单

WordPress 设置菜单

一,WordPress 使用 register_nav_menus() 设置菜单位置 导航菜单注册函数 register_nav_menus()在主题的 functions.php 中添加: 上面注册了两个菜单位置,其中 ‘header_main’ 和 ‘footer_bottom’ 分别是这两个菜单的“键key”,后面的值是菜单的标题,会在 “外观 […]
WordPress 主题开发
像素鱼丸
2023-06-25
1.6千 0 0
WordPress 外观菜单添加自定义字段

WordPress 外观菜单添加自定义字段

一,添加自定义字段 在 WordPress 中,为菜单项添加自定义字段可以让你在每个菜单项中存储和显示额外的信息。 使用 `wp_nav_menu_item_custom_fields` 钩子以及一些自定义代码来实现,代码如下: 步骤 1: 添加自定义字段到菜单项 首先,你需要使用 `wp_nav_menu_item_custom_fields` 钩子来添加自定义字段到菜单项编辑界面。你可以将以下 […]
WordPress 主题开发
像素鱼丸
08-04
361 0 0
如何使用 WordPress TinyMCE 经典编辑器自带的 codesample 插件

如何使用 WordPress TinyMCE 经典编辑器自带的 codesample 插件

WordPress 使用的经典编辑器是 TinyMCE,默认情况下,WordPress 自带的编辑器并没有包含 codesample 插件,如果使用下列代码: 会提示找不到插件路径: 解决办法如下:
WordPress 主题开发
像素鱼丸
2025-05-16
506 0 0
像素鱼丸
158 文章
2 评论
4 喜欢
热门
最新文章
什么是幽灵按钮

什么是幽灵按钮

“幽灵按钮”(Ghost Button)是一种常见的网页与移动应用 UI 设计模式,指背景透明(或半透明)、仅通过边框(border)和文字(text)定义的按钮,视觉上“若隐若现”,仿佛“幽灵”一般——因此得名。 核心特征: 无填充色(transparent background) 背景完全透明(或与父容器同色),不遮挡背后内容。 清晰的边框(通常 1–2px 实线) 如 border: 2px […]
设计
像素鱼丸
7天前
37 0 0
付费资源下载时间限制有什么用?

付费资源下载时间限制有什么用?

这个功能确实挺常见的,它背后的逻辑其实不是“防君子”,而是“防小人”和“控成本”。有没有必要做,主要取决于你平台上的资源类型和你的运营阶段。 我们可以从三个角度来看看这个“10天有效期”到底有什么用: 增加倒卖和二次传播的成本(防黄牛) 这是最核心的意义。如果你的资源是虚拟商品(比如教程、源码、素材包),用户付一次钱理论上可以无限复制。 如果没有有效期: 一个人买了,转手挂到闲鱼或者别的群里卖,你 […]
开发
像素鱼丸
11天前
53 0 0
测试产品

测试产品

未分类
像素鱼丸
14天前
50 0 1
退款和取消订单接口要不要合并

退款和取消订单接口要不要合并

很多开发者在设计初期的常见思路。将“取消”和“退款”分开,从功能上看似乎很清晰,但在实际的复杂业务场景中,这种设计可能会带来一些问题。 更主流和推荐的设计是提供一个统一的“申请取消订单”接口,由后端服务根据订单的当前状态,自动路由到不同的处理逻辑。  为什么统一接口是更好的选择? 前端逻辑简化: 对于用户而言,他的诉求只有一个:“我不想要这个订单了”。无论订单是否支付,他在前端点击的都是“取消订单 […]
开发
像素鱼丸
22天前
84 0 0
评论
标签
#RESTful API #插件 #woocomerce #开源 #免费 #AI 生成 #最新 #官方主题 #博客 #即将上线 #River #Land #River-App
生成中...
扫描二维码
扫描二维码
确认购买

您确定要购买此资源吗?

微信扫码支付

请使用微信扫描二维码完成支付

订单号:

等待支付...