it-swarm.com.de

Müssen Widget-Optionen maskiert werden ()?

Ich habe mich gefragt, ob Sie die vom Benutzer übermittelten Daten (Widget-Optionsfelder) innerhalb der Funktionen widget () und form () (aus der Widget-Klasse) wirklich umgehen müssen.

Ich sehe keinen Grund, dies zu tun, wenn die Daten bereits in der update () - Funktion maskiert sind. Oder vermisse ich etwas?

1
Alex

Mm, sie sind nicht aufgeschlitzt, wenn es das ist, was du meinst.

Sie sind jedoch definitiv nicht xss-bereinigt. Verwenden Sie kses vor dem Speichern oder esc_attr (), wenn Sie mit nicht vertrauenswürdigen Daten arbeiten.

1