WordPress 數(shù)據(jù)安全：淨化、轉(zhuǎn)義和驗證

構(gòu)建適用於數(shù)千個網(wǎng)站的 WordPress 插件和主題時，務(wù)必謹慎處理進入和離開 WordPress 的數(shù)據(jù)。本教程將探討用於保護、清理和檢查 WordPress 數(shù)據(jù)的原生函數(shù)，這在創(chuàng)建設(shè)置頁面、HTML 表單、操作短代碼等方面至關(guān)重要。

什麼是數(shù)據(jù)淨化？

簡而言之，數(shù)據(jù)淨化就是清理用戶輸入。它移除輸入中不允許的文本、字符或代碼。

示例： Gmail 在顯示 HTML 郵件之前，會移除 HTML 郵件中的標籤及其內(nèi)容，以防止郵件 CSS 覆蓋 Gmail 樣式。 WordPress 小部件標題不允許包含 HTML 標籤，如有，則在保存標題之前自動移除。

WordPress 提供多種函數(shù)來淨化不同類型的數(shù)據(jù)：

• sanitize_email()：移除電子郵件地址中不允許的字符。例如：sanitize_email("narayan prusty@sitepoint.com") 輸出 "narayanprusty@sitepoint.com"。
• sanitize_file_name()：移除文件名中可能導(dǎo)致命令行引用文件出現(xiàn)問題的字符。 WordPress 媒體上傳器使用此函數(shù)淨化媒體文件名。例如：sanitize_file_name("_profile pic--1_.png") 輸出 "profile-pic-1_.png"。
• sanitize_key()：選項、元數(shù)據(jù)和瞬態(tài)鍵只能包含小寫字母數(shù)字字符、短劃線和下劃線。此函數(shù)用於淨化鍵。例如：sanitize_key("http://SitePoint.com") 輸出 "httpsitepointcom"。
• sanitize_text_field()：移除無效的 UTF-8 字符，將 HTML 特定字符轉(zhuǎn)換為實體，去除所有標籤，以及移除換行符、製表符和多餘的空格。 WordPress 使用此函數(shù)淨化小部件標題。例如：sanitize_text_field("<b>Bold</b>") 輸出 "Bold"。
• sanitize_title()：移除字符串中的 PHP 和 HTML 標籤，以及重音符號?？崭褡址D(zhuǎn)換為短劃線。此函數(shù)用於根據(jù)文章/頁面標題生成文章/頁面的 slug，而非淨化標題（淨化標題需使用 sanitize_text_field）。例如：sanitize_title("Sanítizing, Escaping and Validating Data in WordPress") 輸出 "sanitizing-escaping-and-validating-data-in-wordpress"。

什麼是數(shù)據(jù)轉(zhuǎn)義？

簡而言之，數(shù)據(jù)轉(zhuǎn)義就是保護輸出。這樣做是為了防止 XSS 攻擊，並確保數(shù)據(jù)按預(yù)期顯示。

數(shù)據(jù)轉(zhuǎn)義將特殊的 HTML 字符轉(zhuǎn)換為 HTML 實體，以便顯示而不是執(zhí)行。

示例： Facebook 在顯示聊天消息時會對其進行轉(zhuǎn)義，以確保用戶不會在彼此的計算機上運行代碼。

WordPress 提供一些函數(shù)來轉(zhuǎn)義不同類型的數(shù)據(jù)：

• esc_html()：轉(zhuǎn)義 HTML 特定字符。
• esc_textarea()：在文本區(qū)域顯示文本時，使用 esc_textarea() 代替 esc_html()，因為 esc_textarea() 可以雙重編碼實體。
• esc_attr()：編碼 ,, &, ", 和 ' 字符。它永遠不會雙重編碼實體。此函數(shù)用於轉(zhuǎn)義 HTML 標籤屬性的值。
• esc_url()：URL 也可能包含 JavaScript 代碼。因此，如果要顯示 URL 或完整的 <a></a> 標籤，則應(yīng)轉(zhuǎn)義 href 屬性，否則可能導(dǎo)致 XSS 攻擊。
• esc_url_raw()：如果要將 URL 存儲在數(shù)據(jù)庫中或用於 URL 重定向，則使用此函數(shù)。 esc_url 和 esc_url_raw 的區(qū)別在於 esc_url_raw 不會替換與號和單引號。
• antispambot()：此函數(shù)將電子郵件地址字符轉(zhuǎn)換為 HTML 實體以阻止垃圾郵件機器人。

什麼是數(shù)據(jù)驗證？

簡而言之，數(shù)據(jù)驗證就是檢查用戶輸入。這是為了檢查用戶是否輸入了有效值。

如果數(shù)據(jù)無效，則不會對其進行處理或存儲。系統(tǒng)會要求用戶重新輸入值。

示例： 在網(wǎng)站上創(chuàng)建帳戶時，系統(tǒng)會要求您兩次輸入密碼。系統(tǒng)會驗證這兩個密碼是否相同。

不應(yīng)依賴 HTML5 驗證，因為它很容易被繞過。在處理或存儲特定數(shù)據(jù)之前，需要進行服務(wù)器端驗證。

WordPress 提供一些函數(shù)來驗證某些類型的數(shù)據(jù)。開發(fā)人員通常會為數(shù)據(jù)驗證定義自己的函數(shù)。

• is_email()：檢查給定的字符串是否為電子郵件地址。
• is_serialized()：檢查傳遞的數(shù)據(jù)是否是字符串。

結(jié)論

我們了解了數(shù)據(jù)淨化、驗證和轉(zhuǎn)義的概念及其重要性。在開發(fā) WordPress 主題或插件時，務(wù)必包含這些函數(shù)。許多插件開發(fā)不完善，沒有轉(zhuǎn)義輸出，這使得網(wǎng)站容易受到潛在的 XSS 攻擊。

常見問題 (FAQ)

本節(jié)包含關(guān)於 WordPress 中數(shù)據(jù)淨化、轉(zhuǎn)義和驗證的常見問題解答，涵蓋了其重要性、工作原理、最佳實踐以及如何使用 WordPress 函數(shù)來實現(xiàn)這些安全措施。

以上是在WordPress中進行消毒，逃脫和驗證數(shù)據(jù)的詳細內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！