sanitize_post() │ WP 2.3.0

Очищает каждое поле указанного объекта/массива поста.

Функция очищает очень легко, например при типе очистке db экранирующие слэши не ставятся.

Если тип очистки указан как raw, то очистка будет минимальной: только некоторые из числовых полей будут превращены в число: ID, post_parent, menu_order, ancestors. Все остальное вернется как передано.

post_content очищается от тегов при фильтрах edit, display на основе доступных тегов для прав текущего пользователя.

При очистке типом db функция не экранирует символы.

Работает на основе: sanitize_post_field()

1 раз — 0.000089 сек (очень быстро) | 50000 раз — 3.16 сек (быстро)

Хуков нет.

Возвращает

Объект|WP_Post|Массив. Очищенный объект/массив данных переданный в $post.

Использование

sanitize_post( $post, $context );

$post(объект/WP_Post/массив) (обязательный)

Данные записи (поста), которые нужно очистить.

$context(строка)

Тип очистки данных. Может быть:

raw - для использования в строке.
edit - для дальнейшего редактирования.
db - для использования в запросе.
display - для вывода на экран.
attribute - для использования в атрибуте.

По умолчанию: 'display'

Примеры

#1 Пример очистки

Допустим мы получаем данные записи в $_POST запросе и прежде чем выводить каждое из них на экран, нам нужно их очистить. Это можно сделать по-отдельности, но гораздо быстрее будет прогнать данные через эту функцию, так:

$post_data = $_POST['post_data'];
$post_data = sanitize_post( $post_data );

// Или для использования в SQL запросе:
$post_data = sanitize_post( $post_data, 'db'); // результат не защищен от sql инъекций

#2 Очистка перед добавление в БД

Пример из функции wp_insert_post(), в примере я убрал очень много кода, чтобы показать только суть очистки:

$postarr = $_POST['post_data'];

// удаляем данные о предыдущей очистке
unset( $postarr[ 'filter' ] );

// очищаем
$postarr = sanitize_post($postarr, 'db');

// собираем $data из параметров $postarr .........

// Убираем слэши, их вставит $wpdb->insert
$data = wp_unslash( $data );

// вставляем
$wpdb->insert( $wpdb->posts, $data );

#3 Как чистятся данные:

// пусть в $_POST['post_data'] были следующие данные:

$post_data = array(
	'ID'             => '6129',
	'post_author'    => '1',
	'post_date'      => '2015-09-03 01:36:12',
	'post_content'   => 'Контент " кавычка. <br> <foo>foo</foo> <script>нечто</script> ',
	'post_title'     => 'wp_get_post_revision',
	'post_status'    => 'publish',
	'comment_status' => 'open',
	'post_name'      => 'wp_get_post_revision',
	'post_content_filtered' => '',
	'post_parent'    => '0',
	'menu_order'     => '0',
	'post_type'      => 'func',
	'comment_count'  => '0'
);

// выводим
foreach( $post_data as $k => $v ){
	echo "$k = (", gettype($v) ,") ". htmlspecialchars($v) ."\n";
}

/* Получаем:
ID = (string) 6129
post_author = (string) 1
post_date = (string) 2015-09-03 01:36:12
post_content = (string) Контент " кавычка. <br> <foo>foo</foo> <script>нечто</script>
post_title = (string) wp_get_post_revision
post_status = (string) publish
comment_status = (string) open
post_name = (string) wp_get_post_revision
post_content_filtered = (string)
post_parent = (string) 0
menu_order = (string) 0
post_type = (string) func
comment_count = (string) 0
*/

Теперь давайте посмотрим как выглядят данные после очистки, обращаем внимание на типы:

$post_data = sanitize_post( $post_data, 'raw' ); // raw ----------------

/*
ID = (integer) 6129
post_author = (string) 1
post_date = (string) 2015-09-03 01:36:12
post_content = (string) Контент " кавычка. <br> <foo>foo</foo> <script>нечто</script>
post_title = (string) wp_get_post_revision
post_status = (string) publish
comment_status = (string) open
post_name = (string) wp_get_post_revision
post_content_filtered = (string)
post_parent = (integer) 0
menu_order = (integer) 0
post_type = (string) func
comment_count = (string) 0
filter = (string) raw
*/

$post_data = sanitize_post( $post_data, 'edit' ); // edit ----------------

/*
ID = (string) 6129
post_author = (string) 1
post_date = (string) 2015-09-03 01:36:12
post_content = (string) Контент " кавычка. <br> <foo>foo</foo> <script>нечто</script>
post_title = (string) wp_get_post_revision
post_status = (string) publish
comment_status = (string) open
post_name = (string) wp_get_post_revision
post_content_filtered = (string)
post_parent = (string) 0
menu_order = (string) 0
post_type = (string) func
comment_count = (string) 0
filter = (string) edit
*/

$post_data = sanitize_post( $post_data, 'db' ); // db ----------------

/*
ID = (integer) 6129
post_author = (string) 1
post_date = (string) 2015-09-03 01:36:12
post_content = (string) Контент " кавычка. <br> <foo>foo</foo> <script>нечто</script>
post_title = (string) wp_get_post_revision
post_status = (string) publish
comment_status = (string) open
post_name = (string) wp_get_post_revision
post_content_filtered = (string)
post_parent = (integer) 0
menu_order = (integer) 0
post_type = (string) func
comment_count = (string) 0
filter = (string) db
*/

$post_data = sanitize_post( $post_data, 'display' ); // display ----------------

/*
ID = (integer) 6129
post_author = (string) 1
post_date = (string) 2015-09-03 01:36:12
post_content = (string) Контент " кавычка. <br> <foo>foo</foo> <script>нечто</script>
post_title = (string) wp_get_post_revision
post_status = (string) publish
comment_status = (string) open
post_name = (string) wp_get_post_revision
post_content_filtered = (string)
post_parent = (integer) 0
menu_order = (integer) 0
post_type = (string) func
comment_count = (string) 0
filter = (string) display
*/

$post_data = sanitize_post( $post_data, 'attribute' ); // attribute ----------------

/*
ID = (string) 6129
post_author = (string) 1
post_date = (string) 2015-09-03 01:36:12
post_content = (string) Контент &quot; кавычка. &lt;br&gt; &lt;foo&gt;foo&lt;/foo&gt; &lt;script&gt;нечто&lt;/script&gt;
post_title = (string) wp_get_post_revision
post_status = (string) publish
comment_status = (string) open
post_name = (string) wp_get_post_revision
post_content_filtered = (string)
post_parent = (string) 0
menu_order = (string) 0
post_type = (string) func
comment_count = (string) 0
filter = (string) js
*/

Заметки

Смотрите: sanitize_post_field()

Список изменений

С версии 2.3.0

Введена.

Код `sanitize_post() sanitize post` ^{WP 6.5.2}

wp-includes/post.php

function sanitize_post( $post, $context = 'display' ) {
	if ( is_object( $post ) ) {
		// Check if post already filtered for this context.
		if ( isset( $post->filter ) && $context == $post->filter ) {
			return $post;
		}
		if ( ! isset( $post->ID ) ) {
			$post->ID = 0;
		}
		foreach ( array_keys( get_object_vars( $post ) ) as $field ) {
			$post->$field = sanitize_post_field( $field, $post->$field, $post->ID, $context );
		}
		$post->filter = $context;
	} elseif ( is_array( $post ) ) {
		// Check if post already filtered for this context.
		if ( isset( $post['filter'] ) && $context == $post['filter'] ) {
			return $post;
		}
		if ( ! isset( $post['ID'] ) ) {
			$post['ID'] = 0;
		}
		foreach ( array_keys( $post ) as $field ) {
			$post[ $field ] = sanitize_post_field( $field, $post[ $field ], $post['ID'], $context );
		}
		$post['filter'] = $context;
	}
	return $post;
}

11 комментариев

Pavel plance.in.ua

А почему WP, сам добавляет слэши к POST данным?
Могу догадаться что-то в целях какой-то безопасности. Но все же?

p.s. Спасибо за "wp_unslash(...)"

0

8.5 лет назад #
- Kama9622
  
  Это базовая защита от инъекций при обработке SQL запроса, а если передать строку уже "заслэшенную", то могут получиться двойные слэши.
  
  0
  
  8.5 лет назад #
Максим
Подскажите пожалуйста, нужно ли использовать данную функцию при следущем сценарии:
1. Получаем информацию от API CURL'ом в виде JSON.
2. Декодируем полученный JSON в массив с помощью json_decode().
3. Сохраняем этот массив в трансиент с помощью set_transient().
4. Получаем массив из трансиента с помощью get_transient(), и на его основе формируем данные для $postarr чтобы добавить пост с помощью wp_insert_post().
Нужно ли на 4-м шаге добавлять обработку $postarr с помощью sanitize_post()?
1

3.2 года назад #
- Kama9622
  
  В описании функции wp_insert_post(), в разделе Безопасность я писал об этом:
  
  Функция обрабатывает переданные данные с помощью функции sanitize_post() - она проверяет и очищает значения всех полей. Поэтому можно не беспокоится об очистке передаваемых данных.
  
  1
  
  3.2 года назад #
  - Максим
    
    Благодарю за пояснение.
    
    В этой статье Вы также приводите в примере использование функции wp_strip_all_tags() для очистки заголовка (и других полей) от тегов.
    
    Я обычно использую для этой цели функцию sanitize_text_field(), которая также проверяет кодировку, удаляет лишние пробелы и т. д.
    
    Хотелось бы узнать Ваше мнение, чем в данном случае больше подходит wp_strip_all_tags() чем sanitize_text_field()?
    
    1
    
    3.2 года назад #
    - Kama9622
      
      Не вижу где использовал wp_strip_all_tags(), но вообще sanitize_text_field() наверное лучше подходит, потому что больше проверяет, очищает и теги также вырезает.
      
      1
      
      3.1 год назад #
      - Максим
        
        В описании функции wp_insert_post() - https://wp-kama.ru/function/wp_insert_post в разделе Безопасность.
        
        Я нашел аналогичный пример в кодексе, там тоже используют wp_strip_all_tags, все остальное судя по всему делает sanitize_post().
        
        0
        
        3.1 год назад #
        
        Kama9622
        
        Там в описании такая очистка - это минимум который желательно сделать. Но я не вижу причин не использовать более серьезную очистку в виде sanitize_text_field().
        
        1
        
        3.1 год назад #
        
        Максим
        
        Понятно, спасибо. Я в основном переживал на счёт быстродействия чтобы не выполнять ненужных обработок.
        
        0
        
        3.1 год назад #
        
        Kama9622
        
        В кодах связанных с вставкой и обновлением постов заботиться о быстродействии в 95% случаев не надо. Потому что такие операции делаются очень редко. Быстродействие важно на выводе, при обработке большого массива данных и т.д. А тут один юзер раз в час что-то там обновит - это сущие пустяки...
        
        1
        
        3.1 год назад #
        
        Макс
        
        Я пишу плагин импорта товаров по API, вот и пытаюсь экономить на списках
        
        0
        
        3.1 год назад #