当我使用WordPress内置函数时,如
add_post_meta, update_post_meta, add_user_meta, update_user_meta
wp_insert_post, wp_insert_user
在将用户输入数据传递给这些函数之前,我应该进行任何转义或清理吗?或者这些函数本身可以解决这个问题吗?
here in codex Action_Reference/save_post数据会立即从update_post_meta传递到$_POST。
答案 0 :(得分:4)
使用sanitize_meta清理元值,通过wp_kses_post清除帖子内容等...您可以放心地假设内置函数是安全的。