Мне нужно иметь дело с WordPress SQL Injection

Мне нужно подготовить строки против MySQL Injection при вставке в базу данных с помощью функции комментариев WordPress, например:

$data = array( 'comment_post_ID' => $post_id, 'comment_author' => $comment_author, 'comment_author_email' => $comment_email, 'comment_content' => $comment_body, 'comment_type' => '', 'comment_parent' => 0, 'user_id' => 1, 'comment_author_IP' => '127.0.0.1', 'comment_agent' => 'Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10 (.NET CLR 3.5.30729)', 'comment_date' => $time, 'comment_approved' => 1, ); wp_insert_comment($data); 

Обновление: на этой странице он выглядит как будто он обрабатывает все это, но не разделяет теги HTML / PHP; это само по себе стоит лишить чисто безопасности?

Solutions Collecting From Web of "Мне нужно иметь дело с WordPress SQL Injection"

Функции API более высокого уровня, подобные этим в WP, обычно выполняют $wpdb->prepare() для защиты от инъекций MySQL.

Что касается содержимого по умолчанию, комментарии позволяют HTML, однако это не просто что-то. Если вы исследуете default-filters.php существует множество функций для wp_kses_post() данных, wp_kses_post() с обработкой данных комментариев, включая wp_kses_post() которая ограничивает подмножество HTML до белого.