WordPressのMySQLデータベースにURLをサニタイズする

Question

私は自分のカスタムテーブルを持っていて、リモートAPIから関連データを取得するためのプラグインをWordpress用に作成しています。私が格納する必要がある要素の1つは、データベース内のTEXTフィールドであるURLです。

Wordpressプラグインで標準mysql_またはmysqli_の機能を使用しないと言った数多くのコメントがありますので、挿入する前にURLをエスケープするにはどうすればよいでしょうか？ esc_url()を十分に使用していますか、それとも先にすべきことがありますか？

case "Create": 
    { 
     $tag = $_POST['product_tag']; 
     $name = $_POST['product_name']; 
     $asin = $_POST['product_id']; 

     $response = getPrice("com", $asin); 

     $result = $wpdb->insert($table_name, array(
      'tag' => $tag, 
      'name' => $name, 
      'asin' => $asin, 
      'price' => $response['price'], 
      'url' => esc_url($response['url']) 
     )); 

     if ($result !== FALSE) 
      echo "Successfully inserted new Amazon Product."; 
     else 
      echo "An Error occurred."; 

     break; 
    } 

Answer 1

通常、そのままの状態でURLをデータベースに挿入するだけで、提示時のセキュリティ上の問題のみに関係します。これはもちろん、連想配列として送られたデータを使ってinsert関数を明示的に呼び出したところにいるように、あなたが正しくここで作業していることを前提としています。

本当のリスクは、人がWPDBをバイパスして物事を直接挿入し、文字列連結を使用して悪いことが多いことです。

あなたこれらの値を表示するべきコールesc_url。許可されたURLを変更したり、必要に応じてURLを変更したり、必要に応じてURLを変更したりする場合は、データベースにそのまま保存して、ケースバイケースで表示するように準備することをお勧めします。