【问题标题】:Wordpress user input securityWordpress 用户输入安全性
【发布时间】:2015-03-25 17:39:03
【问题描述】:

我编写了一个 Wordpress php 模板来通过 HTML 表单获取用户输入。表格中的信息用于创建新(草稿)帖子。我已经使用转义了所有输入。

esc_html($_POST['name']);

我还在提交前检查用户输入是否存在。如何防止sql注入?我应该采取其他预防措施吗?

【问题讨论】:

标签: php sql wordpress


【解决方案1】:

如果您使用内置函数(例如wp_insert_post)来创建帖子,那么您无需担心SQL 注入; WordPress 在插入数据库之前对内容进行转义。

如果您正在运行任何其他查询,请确保使用$wpdb->prepare() 绑定您的参数。逃跑会为你处理。

你应该阅读这篇文章:

https://codex.wordpress.org/Data_Validation#Database

您还应该考虑在表单中添加随机数:

https://codex.wordpress.org/Function_Reference/wp_nonce_field

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2012-07-27
    • 1970-01-01
    • 1970-01-01
    • 2013-06-25
    • 1970-01-01
    • 2014-08-19
    • 2013-11-15
    相关资源
    最近更新 更多