我编写了一个Wordpress php模板,通过HTML表单获取用户输入。表单中的信息用于创建新(草稿)帖子。我已经使用了所有输入。
esc_html($_POST['name']);
我还会在提交前检查用户输入是否存在。如何防止sql注入?我应该采取其他预防措施吗?
答案 0 :(得分:0)
如果您正在使用内置函数(例如wp_insert_post)来创建帖子,那么您不必担心SQL注入;在插入数据库之前,WordPress会转义内容。
如果您正在运行任何其他查询,请确保使用$wpdb->prepare()绑定参数。逃跑将为你照顾。
你应该阅读这篇文章:
https://codex.wordpress.org/Data_Validation#Database
您还应该考虑在表单中添加一个nonce:
https://codex.wordpress.org/Function_Reference/wp_nonce_field