Php WordPress是否在使用设置API时转义数据以防止SQL注入?
我很难找到关于这个话题的任何信息。我正在创建一个插件,允许用户添加自定义JS代码,例如但不限于Google Analytics。为此,我使用Settings API创建了一个带有几个Php WordPress是否在使用设置API时转义数据以防止SQL注入?,php,mysql,wordpress,sql-injection,Php,Mysql,Wordpress,Sql Injection,我很难找到关于这个话题的任何信息。我正在创建一个插件,允许用户添加自定义JS代码,例如但不限于Google Analytics。为此,我使用Settings API创建了一个带有几个textarea字段的设置页面。我使用以下页面作为指南: 我的问题是,我需要做什么来确保进入数据库的数据是安全的?或者它已经安全了(即通过WordPress逃逸)?我曾考虑在register\u setting函数的回调中使用sanitize\u textarea\u field函数,但是,数据(例如,当您使用WP
textarea
字段的设置页面。我使用以下页面作为指南:
我的问题是,我需要做什么来确保进入数据库的数据是安全的?或者它已经安全了(即通过WordPress逃逸)?我曾考虑在
register\u setting
函数的回调中使用sanitize\u textarea\u field
函数,但是,数据(例如,当您使用WP API时,是的)(不仅用于设置,还用于其他函数,如update\u post\u meta
,WP\u insert\u post
等),WP将确保数据在发送到数据库之前正确转义
少数例外情况将明确说明您可以输入SQL(例如
除非数据中有不安全的字符(单引号!),否则转义前后都看不到更改。请注意,sanitize_*函数不处理SQL注入,而是尝试清理内容。是,当您使用WP API时(不仅仅是设置,还有其他功能,如update\u post\u meta
,wp\u insert\u post
等),wp将确保数据在发送到数据库之前正确转义
少数例外情况将明确说明您可以输入SQL(例如
除非您有不安全的字符(单引号!)在数据中,您不会看到转义前后的更改。请注意,sanitize_*函数不处理SQL注入,而是尝试清理内容。作为说明,在查询中支持可用于安全插入用户数据的占位符值,如%s
。手动转义是一个糟糕的计划。作为说明,支持ort用于查询中可用于安全插入用户数据的占位符值,如%s
。手动转义是一个错误的计划。