在WordPress中进行消毒，逃脱和验证数据-＆＃＆按-PHP中文网

在WordPress中进行消毒，逃脱和验证数据

William Shakespeare

发布： 2025-02-17 08:34:11

原创

473 人浏览过

WordPress 数据安全：净化、转义和验证

构建适用于数千个网站的 WordPress 插件和主题时，务必谨慎处理进入和离开 WordPress 的数据。本教程将探讨用于保护、清理和检查 WordPress 数据的原生函数，这在创建设置页面、HTML 表单、操作短代码等方面至关重要。

"Sanitizing,

什么是数据净化？

简而言之，数据净化就是清理用户输入。它移除输入中不允许的文本、字符或代码。

示例： Gmail 在显示 HTML 邮件之前，会移除 HTML 邮件中的标签及其内容，以防止邮件 CSS 覆盖 Gmail 样式。WordPress 小部件标题不允许包含 HTML 标签，如有，则在保存标题之前自动移除。

WordPress 提供多种函数来净化不同类型的数据：

sanitize_email()：移除电子邮件地址中不允许的字符。例如：sanitize_email("narayan prusty@sitepoint.com") 输出 "narayanprusty@sitepoint.com"。
sanitize_file_name()：移除文件名中可能导致命令行引用文件出现问题的字符。WordPress 媒体上传器使用此函数净化媒体文件名。例如：sanitize_file_name("_profile pic--1_.png") 输出 "profile-pic-1_.png"。
sanitize_key()：选项、元数据和瞬态键只能包含小写字母数字字符、短划线和下划线。此函数用于净化键。例如：sanitize_key("http://SitePoint.com") 输出 "httpsitepointcom"。
sanitize_text_field()：移除无效的 UTF-8 字符，将 HTML 特定字符转换为实体，去除所有标签，以及移除换行符、制表符和多余的空格。WordPress 使用此函数净化小部件标题。例如：sanitize_text_field("<b>Bold</b>") 输出 "Bold"。
sanitize_title()：移除字符串中的 PHP 和 HTML 标签，以及重音符号。空格字符转换为短划线。此函数用于根据文章/页面标题生成文章/页面的 slug，而非净化标题（净化标题需使用 sanitize_text_field）。例如：sanitize_title("Sanítizing, Escaping and Validating Data in WordPress") 输出 "sanitizing-escaping-and-validating-data-in-wordpress"。

什么是数据转义？

简而言之，数据转义就是保护输出。这样做是为了防止 XSS 攻击，并确保数据按预期显示。

数据转义将特殊的 HTML 字符转换为 HTML 实体，以便显示而不是执行。

示例： Facebook 在显示聊天消息时会对其进行转义，以确保用户不会在彼此的计算机上运行代码。

WordPress 提供一些函数来转义不同类型的数据：

esc_html()：转义 HTML 特定字符。
esc_textarea()：在文本区域显示文本时，使用 esc_textarea() 代替 esc_html()，因为 esc_textarea() 可以双重编码实体。
esc_attr()：编码 ,, &, ", 和 ' 字符。它永远不会双重编码实体。此函数用于转义 HTML 标签属性的值。
esc_url()：URL 也可能包含 JavaScript 代码。因此，如果要显示 URL 或完整的 <a></a> 标签，则应转义 href 属性，否则可能导致 XSS 攻击。
esc_url_raw()：如果要将 URL 存储在数据库中或用于 URL 重定向，则使用此函数。esc_url 和 esc_url_raw 的区别在于 esc_url_raw 不会替换与号和单引号。
antispambot()：此函数将电子邮件地址字符转换为 HTML 实体以阻止垃圾邮件机器人。