Почему worpress добавляет перед каждым символом (') или ("). (\) В методе get и post?

Question

[zeni1agent]

Я пытаюсь отправить через метод post div с классом.

<form  method="POST"><textarea name="test2" class="test2"><div class="test"></div></textarea><input type="submit" value="Отправить"></form>
<?php  echo $_POST ['test2'];  ?>

Но проблема в том что wordpress добавляет к каждой (') и (") (\)
из за чего получается каша
.
Почему и как это исправить?

Answer 1

[Игорь Воротнёв]

Потому что безопасность. Читаем документацию PHP-функции addslashes() и возвращаемся к основам, учить матчасть.

Comments

[zeni1agent]

Спасибо за подсказку. Но на всякий случай. Для не особо догадливых.
Ответ.
stripslashes($str); Возвращает строку с удаленными обратными слешами.

[Игорь Воротнёв]

zeni1agent, ну, подобные функции в PHP почти все идут парами - одна добавляет, другая убирает. Дело не в этом. Если вам вообще приходится делать это вручную в контексте CMS (в данном случае WordPress), то что-то вы не так делаете. Грубо говоря, вы приняли на стороне сервера через POST данные с экранированными кавычками (так и должно быть), что дальше вы будете с этими данными такое делать, что вам нужно убрать слэши?

[zeni1agent]

Игорь Воротнёв,У меня есть javascript код в котором я меняю динамически свойства div после чего я переношу результат в php. Единственный способ который я нашел это через POST. И сохраняю результат в мето поле. а все id и class коверкаются из за слешей. Вот пример code для лучшего понимания.

[Игорь Воротнёв]

zeni1agent, ну, изучать весь ваш код не вижу смысла, просто напомню вам о том, что с таким же успехом в ваше текстовое поле можно ввести javascript-код, который будет без проблем выполнен.

[zeni1agent]

Игорь Воротнёв, Я не до конца понял это предупреждение или подсказка?
Просто я именно через текстовое поле и вывожу весь код

document.write('<form name="form1" method="POST"><textarea name="test1" class="test2"><div  class="test3">');
	youf.forEach(function(element) { 
	document.write(element );
});
document.write('</div></textarea><input type="submit" value="Отправить"></form>');

И звучит это либо как предупреждение на то что любой пользователь сможет вывести любой код изо чего сайт полетит
либо как подсказка на упрощение кода.

[Игорь Воротнёв]

zeni1agent, https://www.sitepoint.com/php-security-blunders-2/
Технически, возможно в вашем случае не принципиально, тогда делайте stripslashes. Но WordPress обязательно будет экранировать спецсимволы, чтобы новички, ничего не смыслящие в написании безопасного кода, не оставляли за собой открытые двери.

[zeni1agent]

Игорь Воротнёв, Стоит ли мне как то скрыть дополнительно текстовое поле. Для обеспечения большей безопасности? Или нечего сильно страшного в будущем не будет?

[Игорь Воротнёв]

zeni1agent, Забудьте, мы на разных языках говорим. Я не анализировал ваш js-код и понятия не имею что вы там делаете. Говорю лишь о том, что WordPress делает addslashes() не просто так. Если в вашем конкретном случае они не нужны (и вы в этом уверены на 100%) - тогда делайте stripslashes() и вопрос закрыт.