数据验证、动态生成的字段(例如SELECT)

时间:2013-03-15 作者:WallabyKid

为了保护我的插件,我不知道该如何处理输出,比如动态生成的选择字段。例如,我在后端通过PHP生成了一个国家/地区代码select,它有200多个选项长,但整体存储为$ctry_code_sel. 当然,我有一种“一切都是可疑的”的感觉,我使用wordpress的母语esc_urlesc_attr_e 等等,但似乎esc_html_e 等在这种情况下没有用处。

当时间到来时,在任何给定的页面上,我想要输出我的选择字段(例如echo $ctry_code_sel;) 我是否可以/应该在那里做些什么来防范跨站点脚本攻击等。?

1 个回复
SO网友:Dehalion

只要您不允许任何人在您的列表中编辑/添加新国家,我就看不到任何问题。的内容$ctry_code_sel 仅由您控制/修改。

另一方面,如果允许用户修改用于生成select的任何数据,则应在生成过程中直接使用转义方法,而不是在select的HTML完成之后。

当您使用国家/地区列表时,这可能也会对您有所帮助:https://github.com/umpirsky/country-list/

结束
标签: plugin-development   security   小码农  

相关推荐

Security and .htaccess

大约一个月前,我在一个与爱好相关的托管服务器上创建了一个WordPress博客。所以,我目前还不熟悉这一点。由于我担心安全性,我做的一件事就是安装插件WP安全扫描。根据插件结果,我的网站会被检查出来,但我在结果中看到的是一个红旗:文件。wp admin中不存在htaccess/(我在那里ssh了,它不存在)好的,所以我在这个问题上做了大量的搜索,找到了太多的信息。htaccess。我在WordPress上经历了强化WordPress。org网站等,也遇到了这篇文章:http://digwp.com/201