Stripslashes & wp подготовить

Question

Я работаю над созданием пользовательской темы WordPress - и есть раздел, где я извлекаю данные с помощью запроса, который защищен wpdb-> prepare.

Когда я смотрю на результирующий текст, который вытащен в виде косой черты, застрял там. EG surf up становится серфом up.

Во всяком случае, мой главный вопрос - если я применю полоски к нескольким полям запроса после их извлечения, я ставлю под угрозу безопасность, примененную wpdb-> prepare?

например

'altText' => stripslashes($myrow_home->alttext),

Спасибо за внимание, мро.

Answer 1

Obvisoulsy, wpdb-> prepare () подготавливает строку для использования БД, поэтому экранирует кавычки, чтобы избежать всевозможных инъекций.

На самом деле я не понимаю, почему вы перехватываете подготовленное значение для других целей, кроме БД, но его можно лишить черты, если, конечно, вы не используете значение после черты после в запросе БД!

Answer 2

Короткий ответ: вы можете использовать полоски, не ставя под угрозу безопасность wpdb-> prepare.

Из справочника функций WP:

Как и для всех функций в этом классе, которые выполняютсяSQL-запросы, вы должны SQL-экранировать все входные данные (например, wpdb-> escape ($ user_entered_data_string) ).

Для получения дополнительной информации посмотрите http://codex.wordpress.org/wpdb_Class#Protect_Queries_Against_SQL_Injection_Attacks.

Также обязательно прочитайте: http://codex.wordpress.org/Data_Validation

Очень важно, чтобы вы понимали, как работает WP Data Validation, ДО создания темы.