WordPress sanitization

2

In welchen Kontexten sind Plugins für die Datenvalidierung / -bereinigung verantwortlich?

Ich möchte sicherstellen, dass alle Daten in meinen Plugins / Themes sicher behandelt werden, bevor ich in die Datenbank gehe und sie an den Browser ausgebe. Mein Problem ist, dass es Situationen gibt, in denen die API die Bereinigung für Sie übernimmt - wie beim Speichern von Post-Meta-Feldern - und …

17 plugin-development security customization validation sanitization

4

Reicht sanitize_title aus, um Post-Slugs zu generieren?

Ich möchte für einige Zeichenfolgen einen Slug generieren, ohne den Generierungsfluss für WordPress-Slugs zu durchlaufen. Daher möchte ich wissen, welche Funktionen es aufruft, um eine saubere Schnecke zu bekommen. Ich habe sanitize_title () ausprobiert, aber es verbleibt% c2% a0 im Ergebnis.

16 seo slug sanitization

2

Datenbereinigung: Best Practices mit Codebeispielen

Ich versuche, die Datenbereinigung (nicht die Datenvalidierung) zu verstehen, um sichere Designs für WordPress schreiben zu können. Ich habe im Internet nach einem umfassenden Leitfaden für Themenentwickler gesucht, in dem Best Practices aufgeführt sind. Es gab einige Ressourcen, auf die ich gestoßen bin, einschließlich der Codex-Seite mit dem Titel Datenüberprüfung, …

15 customization sanitization

3

Soll ich eine E-Mail-Adresse bereinigen, bevor ich sie an die Funktion is_email () weitergebe?

Ich is_email()überprüfe mit, ob eine vom Benutzer angegebene E-Mail-Adresse gültig ist. Beispielsweise: $email = $_POST['email']; if ( is_email( $email ) ) // Do something. Nach meinem besten Wissen schreibt nichts in dieser Funktion Informationen in die Datenbank. Sollte ich bereinigen, $emailbevor ich es an die Funktion weitergebe?

13 sanitization

1

Wie sicher / bereinigt ist wp_insert_posts ()?

Im Codex für wp_insert_post () heißt es, dass diese Funktion "... Variablen bereinigt , einige Überprüfungen durchführt, fehlende Variablen wie Datum / Uhrzeit usw. ausfüllt" (BEARBEITEN: Ich habe den Codex-Eintrag mit einem robusteren Beispiel aktualisiert das beinhaltet Sicherheit sowie Post-Meta und Kategoriezuweisung) Ich frage mich nur, ob ich eine weitere …

13 security sanitization

2

Sollte die HTML-Ausgabe über esc_html () UND wp_kses () übergeben werden?

Ich bin verwirrt über die verschiedenen Verwendungen von esc_html()und wp_kses(). Ich verstehe, dass esc_html()Sonderzeichen in ihre HTML-Entität konvertiert werden und wp_kses()unerwünschte Tags (z. B. &lt;script&gt;) entfernt werden, bin mir jedoch nicht sicher, in welchen Kontexten sie zusammen oder getrennt verwendet werden sollen. Wenn ich nicht vertrauenswürdiges HTML durchführe esc_html(), wird …

11 escaping sanitization

1

Wann wird esc_html und wann sanitize_text_field verwendet?

Es scheint, dass sie fast die gleiche Art von Arbeit machen. Damit... Wann sollte ich esc_html()anstelle von verwenden sanitize_text_field()?

10 security sanitization

1

So bereinigen Sie sicher einen Textbereich, der vollständige HTML-Eingaben benötigt

Ich entwickle ein Plugin, mit dem der Benutzer HTML-E-Mails aus dem WordPress-Administrator heraus senden kann. Wie soll ich die Eingabe des Textbereichs bereinigen? Es muss in der Lage sein, alle HTML-Tags zu enthalten, die möglicherweise in einer HTML-E-Mail enthalten sind. Wenn ich wp_kses()dann benutze, müsste ich eine riesige Liste zulässiger …

9 plugins plugin-development sanitization

4

Bereinigen Sie den Inhalt von wp_editor

Ich habe einen benutzerdefinierten Beitragstyp erstellt, in dem wir einen Standard-Textbereich / Tinymce finden, der von generiert wurde, wp_editor()und ich habe ein Problem mit dem Speicherteil. Wenn ich den Inhalt mit folgendem Code speichere: update_post_meta( $post_id, $prefix.'content', $_POST['content'] ); Alles funktioniert gut, aber es gibt keine Sicherheit (Desinfektion, Validierung usw.) …

8 wp-editor sanitization

1

Was ist der Unterschied zwischen esc_ * -Funktionen?

Ich habe Professional WordPress gelesen und es heißt: esc_htmlDie Funktion wird zum Bereinigen von Daten verwendet, die HTML enthalten. Diese Funktion codiert Sonderzeichen in ihre HTML-Entitäten esc_attr Funktion wird verwendet, um HTML-Attribute zu maskieren esc_url. Diese Funktion sollte verwendet werden, um die URL nach unzulässigen Zeichen zu durchsuchen. Obwohl das …

8 security escaping sanitization

1

Desinfizieren und Datenvalidierung mit der Funktion apply_filters ()

Sollten wir apply_filters()die folgenden Beispiele bereinigen und validieren ? absint( apply_filters( 'slug_excerpt_length', 35 ) ); wp_kses_post( apply_filters( 'slug_excerpt_more', '&hellip;' ) ); esc_url( apply_filters( 'slug_login_url', home_url( '/' ) ) ); Ich stelle diese Frage, weil ich das noch nie gesehen habe. Tatsächlich fügen wir eine Validierung hinzu, um zu verhindern, dass …

7 filters validation sanitization escaping

1

Was ist der Unterschied zwischen wp_strip_all_tags und wp_filter_nohtml_kses?

Entnommen aus den Artikeln, auf die unten verwiesen wird: wp_strip_all_tags() "Entfernen Sie ordnungsgemäß alle HTML-Tags, einschließlich Skript und Stil." wp_filter_nohtml_kses() "Entfernt den gesamten HTML-Code im Inhalt." Ref: http://codex.wordpress.org/Function_Reference/wp_strip_all_tags http://codex.wordpress.org/Function_Reference/wp_filter_nohtml_kses Diese Funktionen scheinen genau den gleichen Zweck zu erfüllen. Wie unterscheiden sie sich?

7 sanitization

1

Welches KSES sollte wann verwendet werden?

Die WP-Quelle zeigt dies wp_filter_ksesund es wp_filter_post_kseswerden Daten übergeben, von denen "erwartet wird, dass sie mit Schrägstrichen versehen werden". Auf der anderen Seite werden wp_kses_dataDaten übergeben, von denen "erwartet wird, dass sie nicht wp_kses_postmaskiert werden" und deren Code wie wp_kses_data aussieht. Wie sicher ist es, unbekannte Daten (in Bezug auf …

7 security sanitization

3

Grund für Benutzernamen in Kleinbuchstaben

Ich kann validate_user()Aufrufe sanitize_user()mit strengen Argumenten als wahr ansehen , was bedeutet, dass auch Großbuchstaben nicht zulässig sind. Im Quellcode habe ich diesen Kommentar gefunden // If strict, reduce to ASCII for max portability. if ( $strict ) $username = preg_replace( '|[^a-z0-9 _.\-@]|i', '', $username ); Ich möchte wissen, wie …

7 sanitization

1

Benutzerdefinierte Seite mit Variablen in der URL. Schöne URL mit add_rewrite_rule

Verwenden von WP3.1 Ich habe eine benutzerdefinierte Seite mit einer WP_Query und die Abfrage erhält dynamische Variablen von der URL. Und ich möchte sichere Variablen und saubere URLs. Beispiel: carpage /? carmodel = honda & location = finnland ZU carpage / honda / finnland / Ich habe add_rewrite_rule in functions.php …

7 functions urls variables rewrite-rules sanitization

Als «sanitization» getaggte Fragen