En regardant le Codex pour wp_insert_post (), il indique que cette fonction "... désinfecte les variables, vérifie, remplit les variables manquantes comme la date / l'heure, etc." (EDIT: j'ai mis à jour l'entrée du Codex pour inclure un exemple plus robuste qui comprend la sécurité ainsi que la méta-post et l'attribution de catégorie)
Je me demande simplement si je dois effectuer un nettoyage supplémentaire pour empêcher les hacks XSS et autres ou si suffisamment est fait via la fonction.
Pour être honnête, j'ai vérifié la fonction dans core et je n'ai trouvé aucun wp_kses () ou autre nettoyage sur post_content par exemple, donc je suis un peu inquiet. Tout ce que je peux voir, c'est stripslashes_deep () sur les données.
Dois-je donc exécuter wp_kses () ou autre chose lorsque je crée mes arguments sur wp_insert_post ()?
Quelle est la meilleure pratique ici? Le Codex est assez cavalier sur la sécurité dans son exemple.
Merci
la source
<script>
intérieur?Réponses:
Vous n'avez rien à faire.
Sur chargement WP:
'init' hook -> kses_init() -> kses_init_filters()
Plus tard:
wp_insert_post() -> sanitize_post() -> sanitize_post_field() -> 'content_save_pre' -> wp_filter_post_kses()
De même pour les titres des articles, le texte des commentaires, etc.
Conclusion: wp_insert_post () est très aseptisé. :)
la source