ডেটা স্যানিটাইজেশন: কোড উদাহরণ সহ সেরা অভ্যাস

ওয়ার্ডপ্রেসের সুরক্ষিত থিমগুলি লেখার জন্য আমাকে ডেটা স্যানিটাইজেশন (ডেটা বৈধকরণ নয়) বোঝার চেষ্টা করছি। আমি থিম বিকাশকারীদের সেরা অনুশীলনের বিবরণ বিশিষ্ট একটি বোধগম্য গাইড খুঁজতে চেষ্টা করে ইন্টারনেট অনুসন্ধান করেছি। ডেটা বৈধকরণ শিরোনামের কোডেক্স পৃষ্ঠা সহ আমি বেশ কয়েকটি সংস্থান পেয়েছি যদিও আমার পক্ষে কোনওটিই কার্যকর ছিল না। কোডেক্স পৃষ্ঠাটি স্যানিটাইজেশন ফাংশনগুলি, তাদের ব্যবহার এবং তারা কী করে তা তালিকাভুক্ত করে তবে আপনি কেন অন্যটির উপরে কোনও ব্যবহার করবেন বা কোন পরিস্থিতিতে আপনি কোনও স্যানিটাইজেশন ফাংশন ব্যবহার করবেন তা ব্যাখ্যা করতে ব্যর্থ। এই পোষ্টটির উদ্দেশ্যটি হ'ল প্রত্যেককে অনুরোধ করা খারাপ / অযৌক্তিকৃত কোডের উদাহরণগুলি অবদান রাখার জন্য এবং এটি কীভাবে সঠিক স্যানিটাইজেশনের জন্য পুনরায় লেখা উচিত। এটি পোস্টের শিরোনাম বা পোস্ট থাম্বনেইলস সিআরসি বা আরও বিস্তৃত কোডগুলি স্যানিটাইজ করার সাধারণ কোড হতে পারে যা এর স্যানিটাইজেশন পরিচালনা করে handle$_POST Ajax অনুরোধের জন্য ডেটা।

অতিরিক্তভাবে, আমি জানতে চাইছি যে ওয়ার্ডপ্রেস ডেটাবেস যুক্ত করার / আপডেট করার জন্য কাজ করে (যেমন নীচের কোড ব্লকে উল্লিখিতগুলি) আপনার জন্য স্বয়ংক্রিয়ভাবে স্যানিটাইজেশন কাজের যত্ন নেয়? যদি হ্যাঁ, তবে এই ওয়ার্ডপ্রেস ফাংশনগুলিতে প্রেরিত ডেটা স্যানিটাইজ করার জন্য আপনি যখন অতিরিক্ত ব্যবস্থা গ্রহণ করবেন তখন কি কোনও ব্যতিক্রম রয়েছে?

add_user_meta
update_user_meta
add_post_meta
update_post_meta
//just to name a few

এছাড়াও, পিএইচপি এইচটিএমএল এর পিএইচপি ইনলাইন এর বিপরীতে যেমন প্রতিধ্বনিত হয় তখন কি স্যানিটাইজেশন আলাদাভাবে করা দরকার? আমি যা জিজ্ঞাসা করছি সে সম্পর্কে আরও পরিষ্কার হওয়ার জন্য এখানে কোডটি দেওয়া হয়েছে:

<?php echo '<div class="some-div ' . $another_class . '" data-id="' . $id . '" >' . $text . '</div>'; ?>

<div class="some-div <?php echo $another_class; ?>" data-id="<?php echo $id; ?>"><?php echo $text; ?></div>

উপরোক্ত বিবৃতি উভয় একই জিনিস অর্জন। তবে তাদের কি আলাদাভাবে স্যানিটাইজ করা দরকার?

এই কোডেক্স পৃষ্ঠাটি বেশ ভালভাবে ব্যাখ্যা করেছে আমি মনে করি।

সম্ভবত সবচেয়ে গুরুত্বপূর্ণ এবং সাধারণভাবে ব্যবহৃত ফাংশনটি সম্ভবত esc_attr। এই উদাহরণটি ধরুন:

<a href="<?php print $author_url; ?>" title="<?php print $author_name; ?>"> 
  <?php print $author_name; ?>
</a>

যদি $author_nameকোনও "চরিত্র থাকে তবে আপনি আপনার বৈশিষ্ট্যটি বন্ধ করে দিতে পারেন এবং যদি সেই চরিত্রটি অনুসরণ করা হয় তবে onclick="do_something();"এটি আরও খারাপ হতে পারে :)

করণ print esc_attr($author_name)নিশ্চিত করে যে এই জাতীয় অক্ষরগুলি এনকোড হয়েছে এবং ব্রাউজার এমন কিছু করে না যা করা উচিত নয়।

আপনার প্রয়োজন নেই এমন একটি ক্ষেত্রে রয়েছে: আপনি যখন কোনও সংখ্যার প্রত্যাশা করছেন, তখন সেক্ষেত্রে আপনি কেবল ইনপুট ডেটা পূর্ণসংখ্যায় কাস্ট করতে পারেন, উদাহরণস্বরূপ:

print (int)$_POST['some_number'];

wpdb->prepare()পদ্ধতি যখন আপনি ডিবি নিজেকে কোয়েরি করতে ব্যবহার করা প্রয়োজন। এখানে একটি উদাহরণ:

$sql = $wpdb->prepare('
    UPDATE wp_posts SET post_title = %s WHERE ID = %d', 
      $_POST['title'], $_POST['id']);

$wpdb->query($sql);

%sএবং %dকীওয়ার্ড আপনার sanitized $ _POST মান দিয়ে প্রতিস্থাপিত হবে।

ডাব্লুপি.আর.পি. সংগ্রহস্থলের অনেক প্লাগইন-এ আমি দেখতে পাই এমন একটি সাধারণ সাধারণ ভুলটি এটিতে ইতিমধ্যে প্রস্তুত কোয়েরিটি পাস করা (যেমন খারাপভাবে প্রস্তুত) রয়েছে:

$wpdb->prepare('UPDATE wp_posts SET post_title = \''.$_POST['title'].' WHERE ...

এটি করবেন না :)

এছাড়াও, পিএইচপি এইচটিএমএল এর পিএইচপি ইনলাইন এর বিপরীতে যেমন প্রতিধ্বনিত হয় তখন কি স্যানিটাইজেশন আলাদাভাবে করা দরকার?

উপরোক্ত বিবৃতি উভয় একই জিনিস অর্জন। তবে তাদের কি আলাদাভাবে স্যানিটাইজ করা দরকার?

না।

মার্ক জ্যাকিথের এই ভিডিওটি আমার কাছে এটি পরিষ্কার করে দিয়েছে। http://wordpress.tv/2011/01/29/mark-jaquith-theme-plugin-security/