私はWordpressのマルチサイトインストールを行っており、機能の一部は、データベースに保存されているCSS(親と子のCSSファイルから1回だけコピーされたバージョン)をロードすることです(テーマオプションのWordpressオプションテーブル部分)。この機能は、テーマ オプション パネルで利用できます。
この機能を有効にすると、親と子の CSS が無効になり、テーマはカスタム css ファイル (custom.css) から読み込まれます。この custom.css の内容はデータベースから取得されます (最初の段落で述べたように)。テーマ オプション パネルで、ユーザーは CSS 全体を編集して保存できるようになりました。保存すると、変更内容が custom.css ファイルに書き込まれます。
この方法が安全かどうか、あなたの考えが必要です。基本的に、次の PHP 行を使用してカスタム CSS を (データベースに保存する前に) サニタイズしました。
$sanitized_css = esc_html($original_css);
esc_html は、HTML ブロックをエスケープするための Wordpress 関数です: http://codex.wordpress.org/Function_Reference/esc_html
しかし、これが本当に最善の方法であるかどうかはわかりません。アドバイスや考えをいただければ幸いです。
CSSファイルを使わず、直接(インライン)CSSをブラウザに出力しようと考えているのですが、この方法でも安全ですか? しかし、特に大きな CSS ファイルの場合は、CSS ファイルからの読み込みが常にベスト プラクティスであることはわかっています。
アプリケーションが XSS、MySQL インジェクション、およびその他のセキュリティ リスクから安全であることを確認する必要があります。
ありがとう。