コメントから、あなたは 2 つの別々の問題 (そして、すぐに言及する 3 つ目の問題に気付いていない可能性があります) について懸念しているように見えます。それぞれを個別に処理する必要があります。Defuse Security によるこの記事をお読みください。
SQL インジェクションを防ぐ方法
これは、一般的なPHPアプリケーションに関してStackOverflowで以前に回答されています。WordPressはプリペアード$wpdbステートメントをサポートしているため、PDO や MySQLi の操作方法を理解する必要はありません。(ただし、ドライバーの脆弱性はプラグ$wpdbインに影響します。ドキュメントをよく読んでください。
パラメータをプリペアド ステートメントに渡す前に、パラメータをエスケープしないでください。マンジされたデータになってしまうだけです。
クロスサイト スクリプティング
この記事の執筆時点 (2015 年 6 月) では、考慮すべき一般的な状況が 2 つあります。
- ユーザーは、HTML、CSS などをこの入力に送信することを許可されるべきではありません。
- ユーザーは HTML や CSS などをこの入力に送信できますが、そうすることでハッキングされることは望ましくありません。
最初の問題は簡単に解決できます。
echo htmlentities($dbresult['field'], ENT_QUOTES | ENT_HTML5, 'UTF-8');
2 番目の問題は少しトリッキーです。特定のマークアップのみを許可し、Javascript をユーザーのブラウザーで実行するために利用できる他のマークアップを誤って許可しないようにする必要があります。一部の HTML を許可しながら XSS 防御を行う現在のゴールド スタンダードはHTML Purifierです。
重要!
要件が何であれ、データをデータベースに挿入する前ではなく、常に出力時に XSS 防御を適用する必要があります。最近、Wordpress コアに保存されたクロスサイト スクリプティングの脆弱性がありました。これは、レンダリング前にエスケープするのではなく、保存する前にエスケープするという決定に起因します。十分に長いコメントを提供することで、攻撃者はエスケープされたテキストで MySQL の切り捨てバグを引き起こし、防御を回避することができました。
おまけ: からの PHP オブジェクト インジェクションunserialize()
それが実際にWordPress DBに保存される方法です:
s:22:"custom_exclude_pattern";s:109:"<div(.+?)class="sharedaddy sd-sharing-enabled"(.*?)>(.+?)<\div><\div><\div>";
serialize()このデータを保存するときに使用しているようで、おそらくunserialize()取得するときに使用しているようです。注意してくださいunserialize(); ユーザーが文字列を制御できるようにすると、コードにPHP オブジェクトが挿入され、リモートでコードが実行される可能性があります。
記録として、リモートでコードが実行されるということは、ウェブサイト全体と、場合によってはブログをホストするサーバーを乗っ取ることができることを意味します。ユーザーがこのレコードを直接変更できる可能性がある場合は、代わりにjson_encode()andを使用することを強くお勧めしjson_decode()ます。