## 消毒：保障投入 消毒是清理或過濾您的輸入數據的過程。 無論數據來自用戶還是API或Web服務，當您不知道期望或不想嚴格的數據驗證時，您都可以使用清除信息。 消除數據的最簡單方法是使用內置的WordPress功能。 消毒系統的幫助函數提供了一種有效的方式來確保您最終獲得安全的數據，并且您需要盡可能少的努力： - sanitize_email() - sanitize_file_name() - sanitize_html_class() - sanitize_key() - sanitize_meta() - sanitize_mime_type() - sanitize_option() - sanitize_sql_orderby() - sanitize_text_field() - sanitize_title() - sanitize_title_for_query() - sanitize_title_with_dashes() - sanitize_user() - esc_url_raw() - wp_filter_post_kses() - wp_filter_nohtml_kses() >[info] 提示：每當您接受潛在的不安全數據時，重要的是驗證或清除它。 ## 示例 - 簡單的輸入字段 假設我們有一個名為title的輸入字段。 ``` <input id="title" type="text" name="title"> ``` 您可以使用`sanitize_text_field()`函數來清理輸入數據： ``` $title = sanitize_text_field( $_POST['title'] ); update_post_meta( $post->ID, 'title', $title ); ``` 在幕后，sanitize_text_field()執行以下操作： - 檢查無效的UTF-8 - 將單個小于字符（<）轉換為實體 - 貼上所有標簽 - 刪除換行符，標簽和額外的空格條字節 >[info] 提示：請記住，請依靠WordPress API及其幫助功能來協助確保您的主題。 ## 轉義：保證輸出 無論何時輸出數據，請確保正確地將其退出。 Escaping是通過剝離不需要的數據（如格式不正確的HTML或腳本標簽）來保護輸出的過程，從而防止這些數據被視為代碼。 轉義有助于在為最終用戶呈現數據之前保護您的數據，并防止XSS（跨站點腳本）攻擊。 >[warning] 注意：跨站點腳本（XSS）是通常在Web應用程序中發現的一種計算機安全漏洞。 XSS使攻擊者將客戶端腳本注入由其他用戶查看的網頁。 攻擊者可能會使用跨站點腳本漏洞繞過諸如同源策略的訪問控制。 WordPress有一些幫助功能，您可以用于大多數常見的場景。 - esc_html() - 當HTML元素包含顯示的數據部分時，可以使用此功能。 ``` <?php echo esc_html( $title ); ?> ``` - esc_url() – 對所有URL使用此功能，包括HTML元素的src和href屬性中的URL。 ``` <img src="<?php echo esc_url( $great_user_picture_url ); ?>" /> ``` - esc_js() – 使用此功能進行內聯JavaScript。 ``` <a href="#" onclick="<?php echo esc_js( $custom_js ); ?>">Click me</a> ``` - esc_attr() – 將此功能用于打印到HTML元素屬性中的所有其他內容。 ``` <ul class="<?php echo esc_attr( $stored_class ); ?>"> </ul> ``` - esc_textarea() – 對textarea元素內的文本進行編碼。 ``` <textarea><?php echo esc_textarea( $text ); ?></textarea> ``` >[info] 提示：輸出轉義應盡可能晚。 ## 隨著本地化逃脫 而不是使用echo輸出數據，通常使用WordPress本地化函數，如`_e()`或`__()`。 這些函數只是將定位函數包含在轉義函數中： ``` esc_html_e( 'Hello World', 'text_domain' ); // same as echo esc_html( __( 'Hello World', 'text_domain' ) ); ``` 這些幫助函數結合本地化和轉義： - esc_html__() - esc_html_e() - esc_html_x() - esc_attr__() - esc_attr_e() - esc_attr_x() ## 自定義轉義 在需要以特定方式轉義輸出的情況下，函數`wp_kses()`（發音為“kisses”）將派上用場。 例如，有些情況下，您希望在輸出中顯示HTML元素或屬性。 此功能確保只有指定的HTML元素，屬性和屬性值才會在輸出中出現，并對HTML實體進行規范化。 ``` $allowed_html = [ 'a' => [ 'href' => [], 'title' => [], ], 'br' => [], 'em' => [], 'strong' => [], ]; echo wp_kses( $custom_content, $allowed_html ); ``` wp_kses_post() 是wp_kses的包裝函數，其中$ allowed_html是一組由帖子內容使用的規則。 ``` echo wp_kses_post( $post_content ); ``` ## 數據庫轉義 執行SQL查詢之前，SQL查詢中的所有數據都必須進行SQL轉義，以防止SQL注入攻擊。 WordPress提供幫助類來協助轉義SQL查詢$ wpdb。 ## 查詢數據 轉義的SQL查詢（在此示例中為$ sql）可以與以下方法一起使用： - $wpdb->get_row($sql) - $wpdb->get_var($sql) - $wpdb->get_results($sql) - $wpdb->get_col($sql) - $wpdb->query($sql) ## 插入和更新數據 - $wpdb->update() - $wpdb->insert() ## 像聲明 - $wpdb->prepare