$ wpdb、ezSQLクラスエスケープ/フィルターかどうか？

Question

私の質問は、wordpressの$ wpdbメソッドに関するものです。これらのメソッドを実行する前に、次のようにしてください。

$wpdb->query 
$wpdb->get_results 
$wpdb->get_var ... 

入力をエスケープ/フィルタリングする必要がありますか？これはすべての方法に必要なものか、あるいはいくつかのものだけが望ましいのか？

はすべてilegal文字（ワードプレスコーデックスの一例）に対処するために例えば、この十分です：

$wpdb->query( 
$wpdb->prepare( 
    "DELETE FROM $wpdb->postmeta 
    WHERE post_id = '13' 
    AND meta_key = 'gargle' 
    " 
,$id, $key) 
); 

TNX

Answer 1

例wordpressのコーデックスページからエラーがあります。ただし、変数のコンテンツタイプを毎回チェックする必要があります

$wpdb->query( 
$wpdb->prepare( 
    "DELETE FROM $wpdb->postmeta 
    WHERE post_id = %d 
    AND meta_key = %s 
    ", $id, $key) 
); 

：彼らは代わりに「13」と「うがい」の％dと％sのを使用する必要があります。タイプが正しいことを保証する必要があります。たとえば、 'post_id'変数の内容が整数であることを確認します。