Санация в плагине WordPress

Правильная защита вместо санитарии

Входная санитария не является правильным подходом к безопасности. Он может использоваться дополнительно к надлежащим механизмам защиты, но не сам по себе.

Нет ни одного фильтра, который может дезинфицировать каждый вход. Если бы безопасность была такой простой, каждый сайт был бы безопасным.

Например, чтобы предотвратить внедрение SQL, вам нужно использовать подготовленные операторы при вставке данных в базу данных.

А для XSS вы должны кодировать символы перед их печатью.

Таким образом, эти две атаки не только требуют различных действий для защиты от них, но и предотвращаются в разное время.

Для WordPress эти статьи должны помочь вам:

• WordPress: защита от внедрения SQL
• WordPress: кодирование против XSS
• OWASP: как предотвратить XSS (список мест, где кодирование недостаточно для предотвращения XSS).

санитария

Хорошо, но WordPress попросил вас о надлежащей санитарии. Я мог предположить, что они просто сформулировали это плохо, и это означало, что вы должны защитить от XSS и SQL-инъекций.

Если вы хотите добавить санитарию (в дополнение к подготовленным операторам и кодировкам, а не вместо них), ознакомьтесь со следующими ссылками:

• WordPress санировать функции
• Ввод PHP-фильтра