Suche…


Syntax

  • sanitize_text_field (Zeichenfolge $ str)
  • sanitize_title (String $ title, String $ fallback_title, String $ context)
  • sanitize_email (String $ email)
  • sanitize_html_class (String $ class, String $ fallback)
  • sanitize_file_name (String $ name)
  • sanitize_user (string $ username, boolean $ strict)

Bemerkungen

Sicherheit sollte bei der Entwicklung immer im Auge behalten werden. Ohne Sicherheit ist eine App offen für verschiedene Angriffe wie SQL-Injektionen, XSS, CSRF, RFI usw., die zu ernsthaften Problemen führen können.

Nicht vertrauenswürdige Daten stammen aus vielen Quellen (Benutzer, Websites Dritter, Ihrer eigenen Datenbank !,!) Und müssen sowohl bei der Eingabe als auch bei der Ausgabe überprüft werden. (Quelle: WordPress-Codex)

Die Daten sollten je nach Verwendung und Zweck validiert, desinfiziert oder entzogen werden.

Validieren bedeutet, sicherzustellen, dass die von Ihnen angeforderten Daten mit den übermittelten Daten übereinstimmen. (Quelle: WordPress-Codex)

Die Bereinigung ist etwas liberaler als ein Ansatz, Benutzerdaten zu akzeptieren. Wir können auf diese Methoden zurückgreifen, wenn es eine Reihe von akzeptablen Eingaben gibt. (Quelle: Wordpress-Codex)

Flucht bedeutet, die Daten, die Sie möglicherweise bereits haben, zu übernehmen und sie vor dem Rendern für den Endbenutzer abzusichern. (Quelle: WordPress-Codex)

Textfeld desinfizieren

$title = sanitize_text_field( $_POST['title'] );

Titel desinfizieren

Der zurückgegebene Wert ist für die Verwendung in einer URL und nicht als von Menschen lesbarer Titel geeignet. Verwenden Sie stattdessen sanitize_text_field.

$new_url = sanitize_title($title);

E-Mail bereinigen

$sanitized_email = sanitize_email('     [email protected]!     ');

HTML-Klasse desinfizieren

$post_class = sanitize_html_class( $post->post_title );
echo '<div class="' . $post_class . '">';

Bereinigen Sie den Dateinamen

$incfile = sanitize_file_name($_REQUEST["file"]);
include($incfile . ".php");

Ohne den Dateinamen zu bereinigen, kann ein Angreifer einfach http: // attacker_site / malicous_page als Eingabe übergeben und den Code auf Ihrem Server ausführen.

Bereinigen Sie den Benutzernamen

$user = sanitize_user("attacker username<script>console.log(document.cookie)</script>");

$ user value nach der Bereinigung ist "Angreifer-Benutzername"



Modified text is an extract of the original Stack Overflow Documentation
Lizenziert unter CC BY-SA 3.0
Nicht angeschlossen an Stack Overflow