Как и когда правильно экранировать поля в wordpress?

Question

[TANK_IST]

Пишу плагин и там есть поля input которые я сохраняю в базу данных с помощью $wpdb->insert
И когда вывожу текст (в котором есть кавычки) в форму value="<?= $value->name ?>" есть конечно проблемы.

Когда именно экранировать символы и какой функцией?

Answer 1

[Vitaliy Orlov]

экранировать при выводе, в шаблоне. функции найти можешь тут: Валидация данных
основные на которые стоит обратить внимание тебе:

esc_html
esc_attr
esc_js
esc_textarea

Comments

[TANK_IST]

Когда я отправляю Тип "площадки" в $_post я получаю Тип \"площадки\" . Как с этим бороться?

[Vitaliy Orlov]

TANK_IST: очень похоже на включеный magic_quotes_gpc

попробуй где-нибудь вставить:
<?=get_magic_quotes_gpc()?>
Если выведет 1, тогда в functions.php добавь:

if ( get_magic_quotes_gpc() ) {
    $_POST      = array_map( 'stripslashes_deep', $_POST );
    $_GET       = array_map( 'stripslashes_deep', $_GET );
    $_COOKIE    = array_map( 'stripslashes_deep', $_COOKIE );
    $_REQUEST   = array_map( 'stripslashes_deep', $_REQUEST ); 
}

[TANK_IST]

Vitaliy Orlov: возвращает false, в документации написано "5.4.0 Всегда возвращает FALSE, так как функционал магических кавычек удален из PHP."

[Vitaliy Orlov]

TANK_IST: это хорошо. Посмотри в:
- коде страницы, у тебя в форме есть слеши (т.е. value="\"площадки\"")
- в базе, как именно записан тип: \"площадки\" или "площадки" или площадки

[TANK_IST]

Vitaliy Orlov: нету, когда я отправляю новое поле (допустим title страницы - Усадьба "Барышникова"), то в $_POST["post_title"] я получаю Усадьба \"Барышникова\". Сам wordpress это чистит и в базе данных все ок. Вот только как самому свои поля чистить?

[Vitaliy Orlov]

TANK_IST: если тебе просто надо очистить $_POST["post_title"] от слешей, то используй stripslashes: php.net/manual/ru/function.stripslashes.php или stripslashes_deep, если переменная в post передается массивом ($_POST["param"][0], $_POST["param"][1] ..)

[TANK_IST]

Vitaliy Orlov: Большое спасибо! Использую wp_unslash и esc_attr