Я хочу переконатися, що всі дані в моїх плагінах / темах обробляються безпечно перед входом у базу даних та перед виведенням у браузер. Моя проблема полягає в тому, що існують ситуації, коли API обробляє санітарну обробку для вас - наприклад, під час збереження метаполя публікацій - та інші, коли автор плагіна / теми несе повну відповідальність за це - як, наприклад, під час збереження спеціальних налаштувань.

Що стосується цього питання, мене не хвилює перевірка даних на рівні домену - наприклад, перевірка того, чи є вікове поле у ​​формі від 0 до 120, чи адреса електронної пошти є дійсною. Мене хвилює лише безпека - наприклад, уникнення запитів SQL, щоб уникнути ін'єкції SQL під час збереження в базі даних, або санітарії даних, що виводяться в шаблони HTML, щоб уникнути XSS.

Для санітарії виводу я знаю, що вам завжди потрібно використовувати такі функції, як esc_html()і esc_attr()коли лунають змінні у шаблонах HTML. Але що робити з використанням тегів шаблонів ? Чи всі вони вже санітують вихід? Якщо так, то для якого контексту (загальний HTML, атрибути тегів тощо)? Деякі функції мають варіанти для різних контекстів (як the_title_attribute(), але більшість - ні.

Що стосується санітарії введення, я знаю, що мені потрібно користуватися $wpdb->prepare()під час вручну запитів, але що робити при використанні API налаштувань для створення сторінки налаштувань плагіна або збереження метаполів публікації для користувацького типу публікації?

Зараз я просто перекопую Core та читаю підручники щоразу, коли використовую функцію, щоб дізнатися, чи вона санітирується чи ні, але це схильне до помилок і займає багато часу. Я сподіваюся знайти якийсь вичерпний перелік усіх можливих ситуацій та незалежно від того, чи API обробляє це чи ні. наприклад,

API перевіряє / дезінфікує

• Збереження мета публікації за допомогою update_postmeta()
• Збереження мета користувача за допомогою update_user_meta()
• Виведення назви посади - використовуйте контекстуально відповідний варіант the_title()
• тощо

Ви повинні вручну перевірити / оздоровити

• Збереження параметрів плагіна за допомогою API налаштувань. Передати зворотний виклик як третій параметр register_setting().
• Прямі запити до бази даних: Загорніть запит $wpdb->prepare().
• Виведення змінних у HTML. Використання esc_attr(), esc_html()і т.д.
• тощо

Мені б також цікаво зрозуміти, чому API надає його в певних ситуаціях, але не в інших. Я припускаю, що це має щось спільне з невідомою природою даних, але я хотів би почути ґрунтовне пояснення.

Тут є два поняття:

• перевірка - переконайтеся, що дані є дійсними , тобто ціле число - ціле число, дата - дата (у правильному форматі тощо). Це слід зробити безпосередньо перед збереженням даних.
• санітація - зробити дату безпечною для її використання в поточному контексті (наприклад, уникнення SQL-запитів або уникнення HTML на виході).

Перевірка, майже повсюдно, залежить лише від вас . Ви знаєте, які дані ви запитуєте від користувача, і ви знаєте, які дані ви очікуєте - WordPress не робить. Перевірка буде виконуватися, наприклад, на save_postгачку перед збереженням її в базі даних update_post_meta, або це може бути зроблено шляхом визначення функції зворотного дзвінка в API налаштувань, що викликається перед тим, як WordPress зберігає дані.

Санітація дещо змішаніша. Маючи справу з даними, про які WordPress споконвічно знає (наприклад, плитка публікації), ви можете бути впевнені, що WordPress вже зробив ці дані безпечними. Однак "безпечний" залежить від контексту; те, що безпечно для використання на сторінці, не обов'язково є безпечним як атрибут елемента. Тому WordPress матимуть різні функції для різного контексту (наприклад the_title(), the_title_rss(), the_title_attribute()) - так що ви повинні використовувати правильний .

Здебільшого ваш плагін може мати справу з метаметами - або, можливо, даними про події зі спеціальної таблиці. WordPress не знає, що це за дані або для чого це, тому він точно не знає, як зробити їх безпечними. Це залежить від вас . Це особливо важливо при використанні esc_url(), esc_attr(), і esc_textarea()т.д. , щоб запобігти зловмисний введення від можливості вставляти код. Оскільки WordPress знає next_posts(), що припустимо надрукувати URL на сторінку, воно застосовується esc_url()- але, наприклад, з метаметалом поста, воно не знає, що воно зберігає URL - або що ви хочете зробити з ним (якщо друк esc_url(), якщо перенаправлення esc_url_raw(). Якщо в добротності - помиляйтесь на сторону обережності і втечі від цього самостійно - і робіть це якомога пізніше.

Нарешті - що робити із збереженням даних? Чи потрібно тоді це зробити безпечним? Як уже згадувалося вам зробити необхідно переконатися , що дані вірні. Але якщо з допомогою WordPress API ( wp_insert_post(), і update_post_meta()т.д.) , то вам не потрібно дезінфікувати дані - тому що при збереженні даних тільки дезінфікуючими ви повинні робити, щоб уникнути заяв SQL - і WordPress робить це. Якщо ви використовуєте прямі оператори SQL (скажімо, для читання / запису даних із спеціальної таблиці), тоді вам слід скористатися $wpdbкласом, який допоможе вам переоцінити запити.

Я написав цю публікацію в блозі про санітацію та валідацію даних, яка може виявитися корисною - в ній я розповідаю про те, що від вас очікується в цьому плані.

Не впевнений, що це ретельно, але з будь-яким плагіном або темою введення користувача повинно бути очищено. Операції з базою даних повинні здійснюватися за допомогою методів $ wpdb->. Усі дані $ _GET та $ _POST повинні бути дезінфіковані.

Це краща практика для програмування PHP, ніж WordPress.

Отже, на закінчення, якщо є функція WordPress, використовуйте її, якщо ні, саніруйте свої змінні та дані самі.

Якщо я був надто розпливчастим, будь ласка, поставте більш конкретний питання.