2013-04-20 35 views
6

Khi tôi sử dụng WordPress được xây dựng trong các chức năng nhưan toàn SQL khi lưu trữ dữ liệu sử dụng WordPress được xây dựng trong chức năng

add_post_meta, update_post_meta, add_user_meta, update_user_meta

wp_insert_post, wp_insert_user

Tôi có nên làm bất cứ thoát hoặc khử trùng trước khi đi qua người sử dụng đầu vào dữ liệu cho các chức năng này hoặc các chức năng này tự làm các trick?

here in codex Action_Reference/save_post dữ liệu được chuyển đến update_post_meta ngay ngoài số $_POST.

Trả lời

3

giá trị meta được khử trùng bằng cách sử dụng sanitize_meta, đăng nội dung được vệ sinh thông qua wp_kses_post, v.v ... Bạn có thể yên tâm giả định rằng các hàm được tích hợp được bảo mật.

+0

điều gì về wp_insert_user? Tôi đã thấy hai hướng dẫn mà trong đó dữ liệu được thoát trước khi được chuyển đến hàm này. – MTVS

+1

Người dùng được vệ sinh với 'sanitize_user', bạn có thể kiểm tra những gì nó làm ngay tại đây: http://core.trac.wordpress.org/browser/tags/3.5.1/wp-includes/formatting.php#L886 – diggy

+0

nhưng những chức năng sanitize_meta, ... chỉ apply_filters, và khi tôi tìm kiếm add_filters, tôi thấy rằng biến với giá trị mặc định chuỗi rỗng được nối với họ, bất kỳ ý tưởng? – MTVS

Các vấn đề liên quan