Эвакуация и дезинфекция

Я создал собственный метабокс для определенного плагина – события CPT. В нем я могу добавлять переговоры по дням событий, с изображениями, именами динамиков, описаниями, названиями и временем. Таким образом, все поля ввода или текстовые поля, которые я набираю при сохранении сообщения, в переменной $_POST помещаются в массив и сохраняются в метате.

Теперь на пост сохранить у меня есть стандарт

  if ( defined('DOING_AUTOSAVE') && DOING_AUTOSAVE ){ return; } if ( !current_user_can('edit_post', $post_id) ){ return; } if ( !isset( $_POST['talk_fields_meta_box_nonce'] ) || !wp_verify_nonce( $_POST['talk_fields_meta_box_nonce'], 'talk_field_nonce' ) ){ return; } 

и затем я устанавливаю свой массив, в который я добавляю входы, как

 $talk_title = $_POST['talk_title_'.$i]; $new_events[$i][$j]['talk_title'] = stripslashes( strip_tags( $talk_title ) ); 

например (я зацикливаюсь здесь, поэтому у меня есть $i и $j ). Затем этот массив добавляется к метатесту post, и когда я смотрю на нее в моей базе данных, значение сохраняется как сериализованный массив.

Когда я вытаскиваю эту информацию, чтобы заполнить метабокс, я использую esc_attr() , esc_html() или wp_kses_post() (для описания в текстовом поле) как санитарию.

Что мне интересно, если я в безопасности от любых атак, не используя htmlspecialchars ?

Я имею в виду, что при сохранении я проверяю, может ли пользователь отредактировать сообщение, у меня есть проверка nonce, и я убегаю на выходе. Может ли моя база данных быть повреждена каким-либо образом – вставлять что-то в текстовое поле и сохранять почту, например? Или я в безопасности?

Благодаря!