网络安全对于一个wordpress站长来说,还是非常重要的。前端时间,阿里云监测到,总是有许多的登录页面攻击,但都被wordpress安全机制给弄回去了。登录页面的表单,wordpress已做了数据安全处理,那我们wordpress模板中的表单数据要怎样过滤处理呢?这个,wordpress早就为我们wordpress主题开发者想到了,wordpress提供有这样的过滤函数。
 |
wordpress常用函数详解1:bloginfo()与get_bloginfo() |
方法一:通过php过滤函数htmlspecialchars来处理表单数据。
htmlspecialchars($_POST['name']);
htmlspecialchars() 函数把以下几个特殊字符转换为 HTML 实体:
& (和号)成为 &
" (双引号)成为 "
' (单引号)成为 '
< (小于)成为 <
> (大于)成为 >
方法二:通过wordpress过滤函数esc_sql()来处理:
下面以一个完整案例来解说 :
$mrname = esc_sql( $_POST['mrname'] ); //过滤post表单数据$email = esc_sql( $_POST['email'] );$phone = esc_sql( $_POST['phone'] );$addtime = date("Y-m-d H:i:s");if( $mrname=='' || $phone=='' ){echo 'Names and mobile phones cannot be empty'; exit;}$sql = "insert into wp_user_submit (mrname,email,phone,time)values('{$mrname}','{$email}','{$phone}','{$addtime}')";if($wpdb->query($sql)){echo '提交成功';}else{echo '提交失败';}
esc_sql()函数同样可以过滤数据中的大于号、小于号、双引号、单引号、和号。因为是wordpress官方提供的过滤函数,可能在某方面会比htmlspecialchars更加强大。所以,在wordpress模板开发中尽量使用esc_sql()函数来对表单数据进行过滤处理。
为了积分,也是醉了,这篇文章挺好