워드프레스를 사용해서 입력을 삭제하는 가장 좋은 방법을 알려주시겠어요?

워드프레스를 사용해서 입력을 삭제하는 가장 좋은 방법을 알려주시겠어요?

워드프레스를 CMS로 사용하여 어플리케이션을 개발하고 있습니다.

데이터베이스에 저장하기 전에 삭제해야 하는 입력 필드가 많은 폼이 있습니다.
code.javascript가 PHP로 삽입되는 주입을 .

현재는 독자적인 방법으로 데이터를 소거하고 있습니다만, WP가 사용하는 기능을 사용하는 것이 좋다고 생각합니다.

Wordpress의 Data Validation을 살펴보았지만 어느 정도의 기능을 사용해야 하는지, 어떤 순서로 사용해야 하는지 잘 모르겠습니다.어떤 WP 기능을 사용하는 것이 가장 좋은지 누가 알 수 있습니까?

현재 다음 작업을 수행하여 입력을 "위생화"하고 있습니다.

1. 악센트가 있는é,, 내은 냐, o, ,, stored)로 ENGINE=InnoDB,DEFAULT CHARSET=utf8 ★★★★★★★★★★★★★★★★★」COLLATE=utf8_danish_ci htmlentity()를 액센트를 수

2. 스트링을 할 때 합니다.mysql_real_escape_string().

하지만 이것만으로는 공격을 막을 수 없다고 생각합니다.따라서 개선을 위한 제안에 매우 감사합니다.

입력 '위생을'은 가짜입니다.

입력 필터링(*)이나 이스케이프(scape)를 통해 주입 장애로부터 자신을 보호하려고 하지 마십시오.다른 컨텍스트에 넣을 때까지 원시 문자열을 사용해야 합니다.에서는, 콘텍스트의 ( 「」, 「」, 「」, 「」, 「」, 「」)이 합니다.mysql_real_escape_string 및 MySQL의 경우htmlspecialcharsHTML 력 html html html html html 。

(WordPress는 다음과 같은 자체 이스케이프 기능을 추가합니다.esc_html(무엇보다)

(*: 어플리케이션 고유의 요건을 제외하고, 전자 메일주소를 확인하는 것은 실제로는 전자 메일주소입니다.비밀번호가 적절한지 확인하는 등).입력 단계에서 제어 문자를 걸러내는 것도 합리적인 주장이지만, 실제로는 거의 수행되지 않습니다.)

htmlentity()를 사용하여 액센트가 있는 입력 필드를 변환합니다.

나는 그것을 하지 말 것을 강력히 권고한다.텍스트가 되어 있어야 되어 있는 하는 것이 .데이터베이스는 "Data.HTML" 등의 하다<그리고."비 ASC와 동시에II 캐릭터도.데이터베이스에서 데이터를 가져와 페이지에 복사하는 것 이외의 다른 이유로 사용하면 데이터에 가짜 HTML 이스케이프가 생깁니다.페이지에 텍스트를 쓰는 마지막 순간까지 HTML을 피하지 마십시오.

ASC가 아닌 경우데이터베이스에 문자를 입력하는 것은 HTML 인코딩 데이터 저장과 같은 지속 불가능한 회피책을 찾는 것이 아니라 먼저 해결해야 할 다른 문제입니다.여기에는 PHP와 데이터베이스가 적절한 UTF-8을 대화하도록 하는 것에 대한 많은 게시물이 있습니다. 그러나 중요한 것은 HTML 출력 페이지 자체가 UTF-8로 올바르게 기능하도록 하는 것입니다.Content-Typeheader/module을 클릭합니다.그런 다음 MySQL 연결이 UTF-8로 설정되어 있는지 확인합니다(예: 를 사용).

SQL 문자열을 생성하여 데이터를 입력할 때 mysql_real_escape_string()을 사용합니다.

네, 맞습니다.이렇게 하면 SQL 주입에 취약하지 않습니다.템플릿 출력 엔드가 아닌 데이터베이스 엔드에서 HTML을 이스케이프하는 경우 HTML 주입(XSS의 원인)에 취약할 수 있습니다.데이터베이스를 통과하지 않은 문자열(예: 에서 직접 가져오기) 때문에$_GET로 이스케이프되지 HTML은 HTML로 이스케이프 되지 않습니다.

언급URL : https://stackoverflow.com/questions/2127009/using-wordpress-can-some-one-tell-me-the-best-way-of-sanitizing-input