為了確保WordPress數據庫查詢，請始終將$ WPDB與準備好的語句使用，對輸入進行消毒和驗證，請在可能的情況下避免原始SQL，并確保憑據安全。首先，使用$ WPDB-> Prepar（）與占位符，％s或％f之類的占位符來防止SQL注入。其次，使用sanitize_text_field（）（或使用之前的已知列表驗證值）進行消毒數據。第三，更喜歡內置功能，例如WP_QUERY或GET_POST_META（），而不是編寫自定義SQL。最后，通過確保wp-config.php，避免公開曝光，旋轉密鑰以及使用生產中的環(huán)境變量來保護數據庫憑據。

使用WordPress時，處理數據庫查詢對于保護您的站點免受SQL注入和其他漏洞至關重要。 WordPress提供內置功能，可幫助您安全地與數據庫進行安全互動，但需要正確使用它們。

以下是確保數據庫查詢保持安全的幾種實用方法。

使用$wpdb和準備好的語句

WordPress包括$wpdb類，該類充當您的代碼和數據庫之間的接口。它通過prepare()方法支持準備好的語句，這有助于通過正確逃避用戶輸入來防止SQL注入。

例如：

全球$ WPDB;
$ user_id = 123;
$ user = $ wpdb-> get_row（$ wpdb->準備（“從{$ wpdb-> users} select * select * west =％d”，$ user_id））;

在這種情況下， %d確保將輸入視為整數。您也可以將%s用于字符串，而%f則用于浮子。始終使用占位符，而不是直接將變量插入查詢中。

一些要點：

• 切勿將用戶輸入直接連接到查詢中
• 在邏輯中使用數據之前，請始終對數據進行消毒（即使已經逃脫了）
• 堅持匹配您數據的占位符類型

查詢前進行消毒和驗證輸入

即使$wpdb->prepare()逃脫值，在使用數據之前，驗證或消毒數據仍然很重要。這增加了另一層保護層，并確保僅預期數據進入您的查詢。

示例：

• 對于整數： (int) $input或intval()
• 用于字符串： sanitize_text_field()或類似的消毒功能
• 對于更復雜的數據，例如數組，請檢查該值是否存在于已知列表中

假設您的前端有一個下拉過濾器，用戶選擇一個類別：

 $ category = sanitize_key（$ _get ['category']）;
if（in_array（$類別，['books'，'電影'，'music']）{
    //安全繼續(xù)
}

這樣，即使有人試圖注入某些東西，它們也僅限于預定義值。

盡可能避免原始查詢

有時，開發(fā)人員在內置的WordPress功能工作時可以使用自定義SQL，并且可以牢固地固定。 WP_Query ， get_post_meta()或get_user_by()之類的功能已在內部進行優(yōu)化并處理安全性。

如果您要獲取帖子，請嘗試：

 $ args = array（
    'post_type'=>'產品'，
    'meta_key'=>'價格'，
    'orderby'=>'meta_value_num'，
    'order'=>'asc'
）；
$ query = new wp_query（$ args）;

這避免了手動編寫SQL并減少了犯錯的機會。

當然，有時需要自定義查詢。只需確保您在走這條路線時遵循較早的做法即可。

確保數據庫憑據安全

如果您的數據庫憑據暴露了，即使是編碼最好的查詢也無濟于事。確保：

• 您的wp-config.php文件具有適當的權限（通常僅由服務器讀取）
• 您不存儲在公共目錄中包含DB信息的備份或日志
• 您定期旋轉憑據，尤其是在有人離開團隊之后

另外，請考慮在生產環(huán)境中使用環(huán)境變量或配置管理工具，以避免硬編碼敏感值。

基本上就是這樣。使用$wpdb正確，驗證輸入，依靠核心功能并保護憑據，可以在WordPress中確保數據庫交互的范圍很長的方面。

以上是如何在WordPress中安全執(zhí)行數據庫查詢的詳細內容。更多信息請關注PHP中文網其他相關文章！