在WordPress中进行消毒，逃脱和验证数据

WordPress 数据安全：净化、转义和验证

构建适用于数千个网站的 WordPress 插件和主题时，务必谨慎处理进入和离开 WordPress 的数据。本教程将探讨用于保护、清理和检查 WordPress 数据的原生函数，这在创建设置页面、HTML 表单、操作短代码等方面至关重要。

什么是数据净化？

简而言之，数据净化就是清理用户输入。它移除输入中不允许的文本、字符或代码。

示例： Gmail 在显示 HTML 邮件之前，会移除 HTML 邮件中的标签及其内容，以防止邮件 CSS 覆盖 Gmail 样式。WordPress 小部件标题不允许包含 HTML 标签，如有，则在保存标题之前自动移除。

WordPress 提供多种函数来净化不同类型的数据：

• sanitize_email()：移除电子邮件地址中不允许的字符。例如：sanitize_email("narayan prusty@sitepoint.com") 输出 "narayanprusty@sitepoint.com"。
• sanitize_file_name()：移除文件名中可能导致命令行引用文件出现问题的字符。WordPress 媒体上传器使用此函数净化媒体文件名。例如：sanitize_file_name("_profile pic--1_.png") 输出 "profile-pic-1_.png"。
• sanitize_key()：选项、元数据和瞬态键只能包含小写字母数字字符、短划线和下划线。此函数用于净化键。例如：sanitize_key("http://SitePoint.com") 输出 "httpsitepointcom"。
• sanitize_text_field()：移除无效的 UTF-8 字符，将 HTML 特定字符转换为实体，去除所有标签，以及移除换行符、制表符和多余的空格。WordPress 使用此函数净化小部件标题。例如：sanitize_text_field("<b>Bold</b>") 输出 "Bold"。
• sanitize_title()：移除字符串中的 PHP 和 HTML 标签，以及重音符号。空格字符转换为短划线。此函数用于根据文章/页面标题生成文章/页面的 slug，而非净化标题（净化标题需使用 sanitize_text_field）。例如：sanitize_title("Sanítizing, Escaping and Validating Data in WordPress") 输出 "sanitizing-escaping-and-validating-data-in-wordpress"。

什么是数据转义？

简而言之，数据转义就是保护输出。这样做是为了防止 XSS 攻击，并确保数据按预期显示。

数据转义将特殊的 HTML 字符转换为 HTML 实体，以便显示而不是执行。

示例： Facebook 在显示聊天消息时会对其进行转义，以确保用户不会在彼此的计算机上运行代码。

WordPress 提供一些函数来转义不同类型的数据：

• esc_html()：转义 HTML 特定字符。
• esc_textarea()：在文本区域显示文本时，使用 esc_textarea() 代替 esc_html()，因为 esc_textarea() 可以双重编码实体。
• esc_attr()：编码 ,, &, ", 和 ' 字符。它永远不会双重编码实体。此函数用于转义 HTML 标签属性的值。
• esc_url()：URL 也可能包含 JavaScript 代码。因此，如果要显示 URL 或完整的 <a></a> 标签，则应转义 href 属性，否则可能导致 XSS 攻击。
• esc_url_raw()：如果要将 URL 存储在数据库中或用于 URL 重定向，则使用此函数。esc_url 和 esc_url_raw 的区别在于 esc_url_raw 不会替换与号和单引号。
• antispambot()：此函数将电子邮件地址字符转换为 HTML 实体以阻止垃圾邮件机器人。

什么是数据验证？

简而言之，数据验证就是检查用户输入。这是为了检查用户是否输入了有效值。

如果数据无效，则不会对其进行处理或存储。系统会要求用户重新输入值。

示例： 在网站上创建帐户时，系统会要求您两次输入密码。系统会验证这两个密码是否相同。

不应依赖 HTML5 验证，因为它很容易被绕过。在处理或存储特定数据之前，需要进行服务器端验证。

WordPress 提供一些函数来验证某些类型的数据。开发人员通常会为数据验证定义自己的函数。

• is_email()：检查给定的字符串是否为电子邮件地址。
• is_serialized()：检查传递的数据是否是字符串。

结论

我们了解了数据净化、验证和转义的概念及其重要性。在开发 WordPress 主题或插件时，务必包含这些函数。许多插件开发不完善，没有转义输出，这使得网站容易受到潜在的 XSS 攻击。

常见问题 (FAQ)

本节包含关于 WordPress 中数据净化、转义和验证的常见问题解答，涵盖了其重要性、工作原理、最佳实践以及如何使用 WordPress 函数来实现这些安全措施。

以上是在WordPress中进行消毒，逃脱和验证数据的详细内容。更多信息请关注PHP中文网其他相关文章！