我正在構建一個自定義wordpress主題 - 並且有一個部分,我通過受wpdb-> prepare保護的查詢來提取數據。Stripslashes&WP準備
當我看到在一個逃生斜線拉的結果文本卡在那裏。 EG衝浪升起成爲衝浪的起點。
無論如何 - 我的主要問題是 - 如果我將幾個查詢字段應用到幾個查詢字段之後,我是否會妥協wpdb-> prepare應用的安全性?
如
'altText' => stripslashes($myrow_home->alttext),
感謝您看,MRO。
Obvisoulsy,wpdb-> prepare()準備DB使用的字符串,所以它轉義引號以避免各種注入。
我真的不明白爲什麼你會攔截一個準備好的值用於比數據庫其他用途,但它是安全strip strips它,當然你不使用striplashed值後,在數據庫查詢!
簡而言之,您可以在不影響wpdb-> prepare的安全性的情況下使用stripslashes。
從WP函數參考:
與這個類執行SQL查詢的所有功能,您必須SQL轉義所有的輸入(例如,wpdb->逃生($ user_entered_data_string))。
查看http://codex.wordpress.org/wpdb_Class#Protect_Queries_Against_SQL_Injection_Attacks瞭解更多信息。
此外,一定要閱讀:http://codex.wordpress.org/Data_Validation
您瞭解WP數據驗證如何工作之前,您創建一個主題是非常重要的。