我的问题是关于wordpress中的$wpdb方法。例如,在运行这些方法之前:
$wpdb->query
$wpdb->get_results
$wpdb->get_var ...
我们需要转义/过滤输入吗?这是每种方法都需要/首选的,还是仅某些方法?
例如,这是否足以处理所有非法字符(来自wordpress代码的示例):
$wpdb->query(
$wpdb->prepare( "DELETE FROM $wpdb->postmeta WHERE post_id = '13' AND meta_key = 'gargle'" ,$id, $key )
);
编辑:
如下面的答案所示,实际上对于每个用户输入,您应该在插入数据库之前检查参数值。它不仅与安全性有关,还与Web应用程序的一般逻辑有关(例如,在前端解析某些内容,如果您包含在数据库中的数据不是您所期望的,则最终用户最终不会得到正确的结果 - 即使该数据从安全角度来看也没有问题)。
话虽如此,上面提到的 wordpress 准备方法 - 是从 sql 注入的角度保证和消除任何安全问题的方法。
wordpress codex 页面中的示例有一个错误。他们应该使用 %d 和 %s 而不是 '13' 和 'shugle':
$wpdb->query(
$wpdb->prepare(
"DELETE FROM $wpdb->postmeta
WHERE post_id = %d
AND meta_key = %s
", $id, $key )
);
但是,每次都应检查变量的内容类型。您需要确保类型正确。例如,检查"post_id"变量内容是否为整数。