Php WordPress是否在使用设置API时转义数据以防止SQL注入？_Php_Mysql_Wordpress_Sql Injection

Php WordPress是否在使用设置API时转义数据以防止SQL注入？

php mysql wordpress

Php WordPress是否在使用设置API时转义数据以防止SQL注入？,php,mysql,wordpress,sql-injection,Php,Mysql,Wordpress,Sql Injection,我很难找到关于这个话题的任何信息。我正在创建一个插件，允许用户添加自定义JS代码，例如但不限于Google Analytics。为此，我使用Settings API创建了一个带有几个textarea字段的设置页面。我使用以下页面作为指南：我的问题是，我需要做什么来确保进入数据库的数据是安全的？或者它已经安全了（即通过WordPress逃逸）？我曾考虑在register\u setting函数的回调中使用sanitize\u textarea\u field函数，但是，数据（例如，当您使用WP

我很难找到关于这个话题的任何信息。我正在创建一个插件，允许用户添加自定义JS代码，例如但不限于Google Analytics。为此，我使用Settings API创建了一个带有几个

textarea

字段的设置页面。我使用以下页面作为指南：

我的问题是，我需要做什么来确保进入数据库的数据是安全的？或者它已经安全了（即通过WordPress逃逸）？我曾考虑在

register\u setting

函数的回调中使用

sanitize\u textarea\u field

函数，但是，数据（例如，当您使用WP API时，

是的）（不仅用于设置，还用于其他函数，如update\u post\u meta
，WP\u insert\u post
等），WP将确保数据在发送到数据库之前正确转义
少数例外情况将明确说明您可以输入SQL（例如
除非数据中有不安全的字符（单引号！），否则转义前后都看不到更改。请注意，sanitize_*函数不处理SQL注入，而是尝试清理内容。
是，当您使用WP API时（不仅仅是设置，还有其他功能，如update\u post\u meta
，wp\u insert\u post
等），wp将确保数据在发送到数据库之前正确转义
少数例外情况将明确说明您可以输入SQL（例如
除非您有不安全的字符（单引号！）在数据中，您不会看到转义前后的更改。请注意，sanitize_*函数不处理SQL注入，而是尝试清理内容。
作为说明，在查询中支持可用于安全插入用户数据的占位符值，如%s
。手动转义是一个糟糕的计划。作为说明，支持ort用于查询中可用于安全插入用户数据的占位符值，如%s
。手动转义是一个错误的计划。