当我使用WordPress内置函数
add_post_meta, update_post_meta, add_user_meta, update_user_meta
wp_insert_post, wp_insert_user
在将用户输入的数据传递给这些函数之前,我应该做任何转义或消毒吗?还是这些函数自己完成了任务?
在codex Action_Reference/save_post中,数据直接从$_POST传递到update_post_meta。
使用sanitize_meta对元值进行消毒,通过wp_kses_post对帖子内容进行消毒,等等…可以放心地认为内置函数是安全的。