在WordPress中進行消毒，逃脫和驗證數據-＆＃＆按-PHP中文網

在WordPress中進行消毒，逃脫和驗證數據

William Shakespeare

發布： 2025-02-17 08:34:11

原創

480 人瀏覽過

WordPress 數據安全：淨化、轉義和驗證

構建適用於數千個網站的 WordPress 插件和主題時，務必謹慎處理進入和離開 WordPress 的數據。本教程將探討用於保護、清理和檢查 WordPress 數據的原生函數，這在創建設置頁面、HTML 表單、操作短代碼等方面至關重要。

"Sanitizing,

什麼是數據淨化？

簡而言之，數據淨化就是清理用戶輸入。它移除輸入中不允許的文本、字符或代碼。

示例： Gmail 在顯示 HTML 郵件之前，會移除 HTML 郵件中的標籤及其內容，以防止郵件 CSS 覆蓋 Gmail 樣式。 WordPress 小部件標題不允許包含 HTML 標籤，如有，則在保存標題之前自動移除。

WordPress 提供多種函數來淨化不同類型的數據：

sanitize_email()：移除電子郵件地址中不允許的字符。例如：sanitize_email("narayan prusty@sitepoint.com") 輸出 "narayanprusty@sitepoint.com"。
sanitize_file_name()：移除文件名中可能導致命令行引用文件出現問題的字符。 WordPress 媒體上傳器使用此函數淨化媒體文件名。例如：sanitize_file_name("_profile pic--1_.png") 輸出 "profile-pic-1_.png"。
sanitize_key()：選項、元數據和瞬態鍵只能包含小寫字母數字字符、短劃線和下劃線。此函數用於淨化鍵。例如：sanitize_key("http://SitePoint.com") 輸出 "httpsitepointcom"。
sanitize_text_field()：移除無效的 UTF-8 字符，將 HTML 特定字符轉換為實體，去除所有標籤，以及移除換行符、製表符和多餘的空格。 WordPress 使用此函數淨化小部件標題。例如：sanitize_text_field("<b>Bold</b>") 輸出 "Bold"。
sanitize_title()：移除字符串中的 PHP 和 HTML 標籤，以及重音符號。空格字符轉換為短劃線。此函數用於根據文章/頁面標題生成文章/頁面的 slug，而非淨化標題（淨化標題需使用 sanitize_text_field）。例如：sanitize_title("Sanítizing, Escaping and Validating Data in WordPress") 輸出 "sanitizing-escaping-and-validating-data-in-wordpress"。

什麼是數據轉義？

簡而言之，數據轉義就是保護輸出。這樣做是為了防止 XSS 攻擊，並確保數據按預期顯示。

數據轉義將特殊的 HTML 字符轉換為 HTML 實體，以便顯示而不是執行。

示例： Facebook 在顯示聊天消息時會對其進行轉義，以確保用戶不會在彼此的計算機上運行代碼。

WordPress 提供一些函數來轉義不同類型的數據：

esc_html()：轉義 HTML 特定字符。
esc_textarea()：在文本區域顯示文本時，使用 esc_textarea() 代替 esc_html()，因為 esc_textarea() 可以雙重編碼實體。
esc_attr()：編碼 ,, &, ", 和 ' 字符。它永遠不會雙重編碼實體。此函數用於轉義 HTML 標籤屬性的值。
esc_url()：URL 也可能包含 JavaScript 代碼。因此，如果要顯示 URL 或完整的 <a></a> 標籤，則應轉義 href 屬性，否則可能導致 XSS 攻擊。
esc_url_raw()：如果要將 URL 存儲在數據庫中或用於 URL 重定向，則使用此函數。 esc_url 和 esc_url_raw 的區別在於 esc_url_raw 不會替換與號和單引號。
antispambot()：此函數將電子郵件地址字符轉換為 HTML 實體以阻止垃圾郵件機器人。