Intereting Posts
На главной странице отображается URL-адрес после перехода на другой сервер Получение номера WordPress Flexslider При переключении с html на визуальный редактор тег <iframe> повреждается Публикация сообщения при редактировании формы сообщения с нажатием клавиши ввода / возврата на клавиатуре Пользовательское мета-поле – Youtube embed Отображать сообщения по категориям в запросе с использованием переменной frame Вытягивание сообщений в статический сайт (wordpress в качестве подкаталога) Имея администратор на разных хостах, прикрепленные изображения Почтовое и избранное изображение имеют одно и то же имя, почему отображается вложение (изображение), а не сообщение? Как фильтровать код встраивания изображений на основе типа ссылки Как добавить значение Redux Framework в пользовательский элемент контента Visual Composer добавление переменных GET в местоположение header () в шаблоне страницы Запретить определенные виджеты с определенных боковых панелей Новые пользователи сохраняются без выбора роли Удалить текущий класс из пунктов подменю

WordPress очищает пользовательский query_var, чтобы избежать инъекций sql?

Я использую функцию get_query_var для получения пользовательского query_var . Этот query_var будет использоваться позже для запроса аргументов для извлечения сообщений с помощью:

 $the_query = new WP_Query( $args ); 

Мой вопрос: безопасно ли использовать get_query_var например, предоставленный или мне нужно очистить эту переменную, чтобы избежать инъекций sql?

Я прочитал этот пост , но он не совсем ясен, и он старый.

В идеальном мире вам не нужно санировать ваши запросы, потому что WordPress ORM избегает инъекций sql, идущих в базу данных, но настоятельно рекомендуется очищать ваши входные данные, особенно если это входные данные, предоставленные посетителем.

Например, вы можете использовать что-то вроде этого:

 $name = sanitize_text_field( $_POST['name'] ); // WP_Query arguments $args = array ( 'name' => $name, ); // The Query $query = new WP_Query( $args ); 

Существует множество фильтрующих функций, которые могут дезинфицировать:

  • sanitize_email ()
  • sanitize_file_name ()
  • sanitize_html_class ()
  • sanitize_key ()
  • sanitize_meta ()
  • sanitize_mime_type ()
  • sanitize_option ()
  • sanitize_sql_orderby ()
  • sanitize_text_field ()
  • sanitize_title ()
  • sanitize_title_for_query ()
  • sanitize_title_with_dashes ()
  • sanitize_user ()

Для получения дополнительной информации читайте:

https://codex.wordpress.org/Validating_Sanitizing_and_Escaping_User_Data