Dans quelle mesure wp_insert_posts () est-il sûr / désinfecté?

11

En examinant le Codex pour wp_insert_post () , il est indiqué que cette fonction "... supprime les variables, effectue certaines vérifications , remplit les variables manquantes telles que la date / heure, etc. "(EDIT: j’ai mis à jour l’entrée du Codex pour y inclure un exemple plus robuste qui inclut la sécurité ainsi que l’affectation de méta et de catégorie post)

Je me demandais simplement si je devais procéder à une nouvelle désinfection pour empêcher les piratages XSS et autres, ou si cela se faisait suffisamment avec la fonction.

Pour être honnête, j'ai vérifié la fonction dans le noyau et je n'ai trouvé aucun traitement wp_kses () ou autre, sur post_content, par exemple, je suis donc un peu inquiet. Tout ce que je peux voir, c'est striplashes_deep () sur les données.

Donc, devrais-je utiliser wp_kses () ou quoi que ce soit d'autre lorsque je construis mes arguments pour wp_insert_post ()?

Quelle est la meilleure pratique ici? Le Codex est assez cavalier sur la sécurité dans son exemple.

Merci

    
posée Tom Auger 29.07.2011 - 17:55

1 réponse

10

Vous n'avez rien à faire.

En charge WP:

'init' hook -> kses_init() -> kses_init_filters()

Plus tard:

wp_insert_post() -> sanitize_post() -> sanitize_post_field() -> 'content_save_pre' -> wp_filter_post_kses()

De même pour les titres d'articles, les commentaires, etc.

Conclusion: wp_insert_post () est très désinfecté. :)

    
réponse donnée scribu 23.08.2011 - 17:33

Lire d'autres questions sur les étiquettes