Preciso limpar a consulta de pesquisa do Wordpress?

2

Eu envio dados de pesquisa para uma página personalizada searchi.php

<?php
    //
    $search_variables = $_GET['s']. '+' .$_GET['cat'];

    //This sends http post to url without curl
    header("Status: 301 Moved Permanently");
    header("Location:http://localhost/wordpress/?s=$search_variables");
    exit;

?>

Eu sei que wp_query limpa variáveis para mim, então eu não deveria me preocupar com isso. Mas é melhor perguntar do que se lamentar, existe alguma maneira de comprometer a segurança?

Eu observei a variável de eco $search_variables com <div></div> inserida por meio de trabalhos de formulário de pesquisa, então devo fazer algo sobre isso?

    
por Burgi 30.08.2012 / 21:07

1 resposta

9

Não. WordPress higieniza a consulta de pesquisa.

Para usar a consulta de pesquisa higienizada, use the_search_query() como echo ou < a href="http://codex.wordpress.org/Template_Tags/get_search_query"> get_search_query() para retornar, a consulta de pesquisa.

Editar

Com base na sua edição:

  • Não use $_GET['s'] . Use get_search_query() .
  • Não use $_GET['cat'] . Use get_the_category() .
  • Todos os dados $_GET e $_POST devem ser considerados intrinsecamente inseguros e devem ser higienizados / validados de acordo.
por Chip Bennett 30.08.2012 / 21:10