Le funzioni esc_ * sono abbastanza sicure in WordPress? (come esc_url, esc_attr, esc_title)

0

WordPress ha un numero di funzioni di convalida / sanitizzazione integrate. Tuttavia, come vediamo, ci sono due tipi di tale gruppo:

  • sanitize_ * (come sanitize_key , sanitize_title , ...)
  • esc_ * (come esc_url , esc_attr , ...)

La mia domanda: le funzioni esc_ * sono abbastanza sicure in WordPress? Voglio dire, in questi casi:

echo '<input type="hidden" name="orderby" value="' . esc_attr( $_REQUEST['search_term'] ) . '" />';

è abbastanza sicuro, o dovremmo comunque usare una sanitizzazione extra, come:

sanitize_title(esc_attr( $_REQUEST['search_term'] ))
    
posta T.Todua 08.12.2018 - 17:18
fonte

1 risposta

1

A mio parere queste funzioni e la loro documentazione sono abbastanza chiare in quali posti queste funzioni dovrebbero essere utilizzate e cosa fanno. esc_attr sfugge agli attributi nei tag HTML e sanitize_title sanifica il titolo e rimuove HTML, PHP ecc. Poiché gli attributi (per esc_attr ) sono (solo) usati all'interno dei tag HTML e i tag HTML saranno rimossi da sanitize_title non ha senso usare esc_attr inside sanitize_title : tutti gli attributi di escape all'interno di HTML verranno rimossi insieme al tag HTML completo.

Le funzioni esc_... e sanitize_... sono sicure fintanto che vengono utilizzate per lo scopo per il quale sono state progettate (e che sono documentate). Se invece si tenta di utilizzare esc_attr per uscire da un URL ecc., Questo non corrisponde allo scopo documentato e probabilmente non fornisce la sicurezza prevista.

    
risposta data 08.12.2018 - 17:35
fonte

Leggi altre domande sui tag