WordPress如何防止SQL注入

1. WordPress这玩意儿搞网站确实方便，但SQL注入就像隔壁老王偷摸撬门，得防着点。它底层用PHP和MySQL搭的，用户输入不洗干净就直接塞进数据库查询，那就完犊子了。比方说有个登录框，用户输入' OR 1=1 --，要是直接拼接SQL字符串，密码不对也能登进去，因为1=1永远成立啊！

2. 核心防御招数是用预编译语句（Prepared Statements）。WordPress自家提供了$wpdb类，比如这样写查询：

   $user_input = $_POST['some_data'];
   $results = $wpdb->get_results(
   $wpdb->prepare("SELECT * FROM wp_posts WHERE author = %s AND status = %s", $user_input, 'publish')
   );

   这里%s是占位符，$wpdb->prepare会把参数转义后再塞进去，比老式拼接字符串安全多了。

3. 别用原始$_GET或$_POST数据！WordPress有封装好的函数：

   $name = sanitize_text_field($_POST['name']); // 清理特殊字符
   $email = sanitize_email($_POST['email']); // 确保是邮箱格式

   这些消毒函数像给数据戴了口罩，病毒似的SQL代码根本溜不进去。

4. 非要用原生SQL时？记得用esc_sql()手动转义：

   $raw_data = "test'; DROP TABLE wp_users;";
   $safe_data = esc_sql($raw_data);
   // 输出: test\'; DROP TABLE wp_users;

   看见没？单引号被加反斜杠了，破坏不了SQL结构。

5. 插件开发者尤其得注意！检查所有输入点——表单、URL参数、甚至HTTP头。曾经有个漏洞就是因为$_SERVER['HTTP_REFERER']没过滤，被注入了。思维跳跃一下：数据库权限也要最小化，别用root账户，就算被注入也能减少损失。

6. 最后啰嗦句：及时更新WordPress核心！官方天天修漏洞，你非要抱着旧版本就像穿破洞裤站火堆旁——迟早烧屁股。安全不是一次性的，得像刷牙一样天天搞。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。