如何在wordpress中清理ajax发送html数据和json数据

Question

我有一个ajax，它向php函数发送一些html内容和json结构。我需要

• 要保存到数据库的json数据
• 要保存到php文件的html内容 在此之前，我必须得到这些价值观并净化它们。我从wordpress插件安全网站上读到，$_POST应该被净化。我读过关于sanitize_*()系列的文章，但找不到适合于html内容和json结构数据的系列。所以我的问题是

1. If json encoded (json string) data require only be sanitized as plain text or doesn't require sanitization ?
2. Is `wp_kses` sufficient for html content sanitization in wordpress or there any other functions ?

​

这是我通过ajax传递的json结构。纯文字

{
    "row": [{
        "data_id": "1001",
        "type": "L",
        "child": [{
            "data_id": "1002",
            "data_type": "M",
            "child": [{
                "data_id": "1003",
                "data_type": "S",
                "child": ""
            }]
        }]
    }],
    "data_id": "Size",
    "data_type": "Cloth"
}

Answer 1

对于$_POST中的每个数组键，您应该根据字段类型使用以下一种：

1. sanitize_text_field(所有文本字段、单选按钮、选择选项值等)
2. sanitize_textarea_field/wp_kses(用于文本区域)
3. esc_url(用于url)
4. sanitize_email

这应能净化所公布数据的大部分内容。

PS:如果您正以任何方式直接与数据库交互，只需确保使用$wpdb->prepare和$wpdb->execute来保护数据库查询的安全(这不是必需的，而是我学到的一种良好实践)。