WC_CSV_Exporter::escape_data()
Escape a string to be used in a CSV context
Malicious input can inject formulas into CSV files, opening up the possibility for phishing attacks and disclosure of sensitive information.
Additionally, Excel exposes the ability to launch arbitrary commands through the DDE protocol.
Метод класса: WC_CSV_Exporter{}
Хуков нет.
Возвращает
Строку
.
Использование
$WC_CSV_Exporter = new WC_CSV_Exporter(); $WC_CSV_Exporter->escape_data( $data );
- $data(строка) (обязательный)
- CSV field to escape.
Заметки
- Смотрите: https://owasp.org/www-community/attacks/CSV_Injection
- Смотрите: https://hackerone.com/reports/72785
Список изменений
С версии 3.1.0 | Введена. |
Код WC_CSV_Exporter::escape_data() WC CSV Exporter::escape data WC 8.7.0
public function escape_data( $data ) { // 0x09: Tab (\t) // 0x0d: Carriage Return (\r) $active_content_triggers = array( '=', '+', '-', '@', chr( 0x09 ), chr( 0x0d ) ); if ( in_array( mb_substr( $data, 0, 1 ), $active_content_triggers, true ) ) { $data = "'" . $data; } return $data; }