為了確保WordPress數(shù)據(jù)庫(kù)查詢，請(qǐng)始終將$ WPDB與準(zhǔn)備好的語句使用，對(duì)輸入進(jìn)行消毒和驗(yàn)證，請(qǐng)?jiān)诳赡艿那闆r下避免原始SQL，並確保憑據(jù)安全。首先，使用$ WPDB-> Prepar（）與占位符，％s或％f之類的佔(zhàn)位符來防止SQL注入。其次，使用sanitize_text_field（）（或使用之前的已知列表驗(yàn)證值）進(jìn)行消毒數(shù)據(jù)。第三，更喜歡內(nèi)置功能，例如WP_QUERY或GET_POST_META（），而不是編寫自定義SQL。最後，通過確保wp-config.php，避免公開曝光，旋轉(zhuǎn)密鑰以及使用生產(chǎn)中的環(huán)境變量來保護(hù)數(shù)據(jù)庫(kù)憑據(jù)。

使用WordPress時(shí)，處理數(shù)據(jù)庫(kù)查詢對(duì)於保護(hù)您的站點(diǎn)免受SQL注入和其他漏洞至關(guān)重要。 WordPress提供內(nèi)置功能，可幫助您安全地與數(shù)據(jù)庫(kù)進(jìn)行安全互動(dòng)，但需要正確使用它們。

以下是確保數(shù)據(jù)庫(kù)查詢保持安全的幾種實(shí)用方法。

使用$wpdb和準(zhǔn)備好的語句

WordPress包括$wpdb類，該類充當(dāng)您的代碼和數(shù)據(jù)庫(kù)之間的接口。它通過prepare()方法支持準(zhǔn)備好的語句，這有助於通過正確逃避用戶輸入來防止SQL注入。

例如：

全球$ WPDB;
$ user_id = 123;
$ user = $ wpdb-> get_row（$ wpdb->準(zhǔn)備（“從{$ wpdb-> users} select * select * west =％d”，$ user_id））;

在這種情況下， %d確保將輸入視為整數(shù)。您也可以將%s用於字符串，而%f則用於浮子。始終使用佔(zhàn)位符，而不是直接將變量插入查詢中。

一些要點(diǎn)：

• 切勿將用戶輸入直接連接到查詢中
• 在邏輯中使用數(shù)據(jù)之前，請(qǐng)始終對(duì)數(shù)據(jù)進(jìn)行消毒（即使已經(jīng)逃脫了）
• 堅(jiān)持匹配您數(shù)據(jù)的佔(zhàn)位符類型

查詢前進(jìn)行消毒和驗(yàn)證輸入

即使$wpdb->prepare()逃脫值，在使用數(shù)據(jù)之前，驗(yàn)證或消毒數(shù)據(jù)仍然很重要。這增加了另一層保護(hù)層，並確保僅預(yù)期數(shù)據(jù)進(jìn)入您的查詢。

示例：

• 對(duì)於整數(shù)： (int) $input或intval()
• 用於字符串： sanitize_text_field()或類似的消毒功能
• 對(duì)於更複雜的數(shù)據(jù)，例如數(shù)組，請(qǐng)檢查該值是否存在於已知列表中

假設(shè)您的前端有一個(gè)下拉過濾器，用戶選擇一個(gè)類別：

 $ category = sanitize_key（$ _get ['category']）;
if（in_array（$類別，['books'，'電影'，'music']）{
    //安全繼續(xù)
}

這樣，即使有人試圖注入某些東西，它們也僅限於預(yù)定義值。

盡可能避免原始查詢

有時(shí)，開發(fā)人員在內(nèi)置的WordPress功能工作時(shí)可以使用自定義SQL，並且可以牢固地固定。 WP_Query ， get_post_meta()或get_user_by()之類的功能已在內(nèi)部進(jìn)行優(yōu)化並處理安全性。

如果您要獲取帖子，請(qǐng)嘗試：

 $ args = array（
    'post_type'=>'產(chǎn)品'，
    'meta_key'=>'價(jià)格'，
    'orderby'=>'meta_value_num'，
    'order'=>'asc'
）；
$ query = new wp_query（$ args）;

這避免了手動(dòng)編寫SQL並減少了犯錯(cuò)的機(jī)會(huì)。

當(dāng)然，有時(shí)需要自定義查詢。只需確保您在走這條路線時(shí)遵循較早的做法即可。

確保數(shù)據(jù)庫(kù)憑據(jù)安全

如果您的數(shù)據(jù)庫(kù)憑據(jù)暴露了，即使是編碼最好的查詢也無濟(jì)於事。確保：

• 您的wp-config.php文件具有適當(dāng)?shù)臋?quán)限（通常僅由服務(wù)器讀?。?/li>
• 您不存儲(chǔ)在公共目錄中包含DB信息的備份或日誌
• 您定期旋轉(zhuǎn)憑據(jù)，尤其是在有人離開團(tuán)隊(duì)之後

另外，請(qǐng)考慮在生產(chǎn)環(huán)境中使用環(huán)境變量或配置管理工具，以避免硬編碼敏感值。

基本上就是這樣。使用$wpdb正確，驗(yàn)證輸入，依靠核心功能並保護(hù)憑據(jù)，可以在WordPress中確保數(shù)據(jù)庫(kù)交互的範(fàn)圍很長(zhǎng)的方面。

以上是如何在WordPress中安全執(zhí)行數(shù)據(jù)庫(kù)查詢的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！