我的網站是基於Wordpress的。爲了防止SQL注入,我需要在查詢之前清理數據。我對此有幾點疑問。這是防止SQL注入Wordpress查詢的最佳方法
1 /我在某處讀到了一個stackoverflow,有人說如果我們使用get_results()來查詢,我們不需要準備()sql查詢,因爲數據已經被清理了。所以我不確定我們必須使用prepare()以及哪種情況我們不需要使用它。
$sql = prepare(....query...);
$wpdb->get_results($sql);
2 /難道我們使用$wpdb->update()
$wpdb->insert()
$wpdb->get_row()
準備()......或者我們只是使用準備()的自定義查詢這樣$wpdb->query($wpdb->prepare(...query...))
3 /說我有一個變量$data = $_POST['data']
。在將數據放入查詢之前,應使用以下最佳方法來清理數據。
esc_sql($data);
或
sanitize_text_field($data);
或
mysql_escape_string($data);
還是其他什麼東西?
4 /是否有任何安全查詢,我們不需要爲它清理數據,或者我們必須在將所有數據放入查詢之前清理所有數據?
謝謝。