标签: ajax wordpress xss
我正在接管插件的开发,他们通过ajax得到了前端JavaScript到后端query_posts的1对1映射。
query_posts
这里安全吗?还是我需要逃离一切/某些领域?
编辑:我问的原因是parse_query已包含一堆清理。我可以在我的插件中创建该代码的完整副本,但这看起来有点傻/无意义?并且http://codex.wordpress.org/Function_Reference/query_posts文档没有提及有关提供清理输入的任何内容
parse_query
干杯
答案 0 :(得分:0)
parse_query包含一般卫生设施,而非您(未知)案例或数据类型验证的特定卫生设施。文档没有提及,因为它假定程序员会这样做。 CODEX是一个很好的工具 - 我每天都在使用它,但你必须明白它不是100%正确,也不是完整的。它更像是一个特定的指导。
其余的是常识。
如果您需要用于数据卫生和验证的codex参考,我建议您阅读HERE和HERE,以及内置到wordpress中的特定数据类型函数列表。
所以直接问题的答案就是"是" 。你应该消毒/逃避," NO" ,你应该假设它不安全(即使它是,或你认为它是)。