¿Debo desinfectar la consulta de búsqueda de Wordpress?

2

Presento los datos de búsqueda a una página personalizada searchi.php

<?php
    //
    $search_variables = $_GET['s']. '+' .$_GET['cat'];

    //This sends http post to url without curl
    header("Status: 301 Moved Permanently");
    header("Location:http://localhost/wordpress/?s=$search_variables");
    exit;

?>

Sé que wp_query sanea las variables para mí, así que no debo preocuparme por eso. Pero es mejor preguntar que lamentar, ¿hay alguna forma de que esto pueda comprometer la seguridad?

Noté que la variable de copia $search_variables con <div></div> insertada en el formulario de búsqueda funciona, ¿debería hacer algo al respecto?

    
pregunta Burgi 30.08.2012 - 21:07

1 respuesta

9

No. WordPress desinfecta la consulta de búsqueda.

Para usar la consulta de búsqueda desinfectada, use the_search_query() para hacer eco, o < a href="http://codex.wordpress.org/Template_Tags/get_search_query"> get_search_query() para devolver, la consulta de búsqueda.

Editar

Basado en tu edición:

  • No uses $_GET['s'] . Utilice get_search_query() .
  • No uses $_GET['cat'] . Utilice get_the_category() .
  • Todos los datos de $_GET y $_POST deben ser asumidos como inherentemente inseguros , y deben ser desinfectados / validados en consecuencia.
respondido por el Chip Bennett 30.08.2012 - 21:10

Lea otras preguntas en las etiquetas