WordPress中文开发手册

WordPress主题开发 — 数据消毒/逃避

消毒:保障投入

消毒是清理或过滤您的输入数据的过程。 无论数据来自用户还是API或Web服务,当您不知道期望或不想严格的数据验证时,您都可以使用清除信息。

消除数据的最简单方法是使用内置的WordPress功能。

消毒系统的帮助函数提供了一种有效的方式来确保您最终获得安全的数据,并且您需要尽可能少的努力:

  • sanitize_email()
  • sanitize_file_name()
  • sanitize_html_class()
  • sanitize_key()
  • sanitize_meta()
  • sanitize_mime_type()
  • sanitize_option()
  • sanitize_sql_orderby()
  • sanitize_text_field()
  • sanitize_title()
  • sanitize_title_for_query()
  • sanitize_title_with_dashes()
  • sanitize_user()
  • esc_url_raw()
  • wp_filter_post_kses()
  • wp_filter_nohtml_kses()

提示:每当您接受潜在的不安全数据时,重要的是验证或清除它。

示例 - 简单的输入字段

假设我们有一个名为title的输入字段。

<input id="title" type="text" name="title">

您可以使用sanitize_text_field()函数来清理输入数据:

$title = sanitize_text_field( $_POST['title'] );
update_post_meta( $post->ID, 'title', $title );

在幕后,sanitize_text_field()执行以下操作:

  • 检查无效的UTF-8
  • 将单个小于字符(<)转换为实体
  • 贴上所有标签
  • 删除换行符,标签和额外的空格条字节

提示:请记住,请依靠WordPress API及其帮助功能来协助确保您的主题。

转义:保证输出

无论何时输出数据,请确保正确地将其退出。

Escaping是通过剥离不需要的数据(如格式不正确的HTML或脚本标签)来保护输出的过程,从而防止这些数据被视为代码。

转义有助于在为最终用户呈现数据之前保护您的数据,并防止XSS(跨站点脚本)攻击。

注意:跨站点脚本(XSS)是通常在Web应用程序中发现的一种计算机安全漏洞。 XSS使攻击者将客户端脚本注入由其他用户查看的网页。 攻击者可能会使用跨站点脚本漏洞绕过诸如同源策略的访问控制。

WordPress有一些帮助功能,您可以用于大多数常见的场景。

  • esc_html() - 当HTML元素包含显示的数据部分时,可以使用此功能。
<?php echo esc_html( $title ); ?>
  • esc_url() – 对所有URL使用此功能,包括HTML元素的src和href属性中的URL。
<img src="<?php echo esc_url( $great_user_picture_url ); ?>" />
  • esc_js() – 使用此功能进行内联JavaScript。
<a href="#" onclick="<?php echo esc_js( $custom_js ); ?>">Click me</a>
  • esc_attr() – 将此功能用于打印到HTML元素属性中的所有其他内容。
<ul class="<?php echo esc_attr( $stored_class ); ?>"> </ul>
  • esc_textarea() – 对textarea元素内的文本进行编码。
<textarea><?php echo esc_textarea( $text ); ?></textarea>

提示:输出转义应尽可能晚。

随着本地化逃脱

而不是使用echo输出数据,通常使用WordPress本地化函数,如_e()__()

这些函数只是将定位函数包含在转义函数中:

esc_html_e( 'Hello World', 'text_domain' );
// same as
echo esc_html( __( 'Hello World', 'text_domain' ) );

这些帮助函数结合本地化和转义:

  • esc_html__()
  • esc_html_e()
  • esc_html_x()
  • esc_attr__()
  • esc_attr_e()
  • esc_attr_x()

自定义转义

在需要以特定方式转义输出的情况下,函数wp_kses()(发音为“kisses”)将派上用场。 例如,有些情况下,您希望在输出中显示HTML元素或属性。

此功能确保只有指定的HTML元素,属性和属性值才会在输出中出现,并对HTML实体进行规范化。

$allowed_html = [
    'a'      => [
        'href'  => [],
        'title' => [],
    ],
    'br'     => [],
    'em'     => [],
    'strong' => [],
];
echo wp_kses( $custom_content, $allowed_html );

wp_kses_post() 是wp_kses的包装函数,其中$ allowed_html是一组由帖子内容使用的规则。

echo wp_kses_post( $post_content );

数据库转义

执行SQL查询之前,SQL查询中的所有数据都必须进行SQL转义,以防止SQL注入攻击。 WordPress提供帮助类来协助转义SQL查询$ wpdb。

查询数据

转义的SQL查询(在此示例中为$ sql)可以与以下方法一起使用:

  • $wpdb->get_row($sql)
  • $wpdb->get_var($sql)
  • $wpdb->get_results($sql)
  • $wpdb->get_col($sql)
  • $wpdb->query($sql)

插入和更新数据

  • $wpdb->update()
  • $wpdb->insert()

像声明

  • $wpdb->prepare