Я писал несколько плагинов для Wordpress, и у меня были некоторые проблемы с Wordpress, помещающим волшебные кавычки в данные POST и GET.
В частности, функция «wp_magic_quotes» в \ wp-includes \ load.php, которая вызывается (предположительно при каждом ответе) в wp-settings.php. Эта функция добавляет к данным магические кавычки, даже если я отключаю магические кавычки в настройках PHP.
/**
* Add magic quotes to $_GET, $_POST, $_COOKIE, and $_SERVER.
*
* Also forces $_REQUEST to be $_GET + $_POST. If $_SERVER, $_COOKIE,
* or $_ENV are needed, use those superglobals directly.
*
* @access private
* @since 3.0.0
*/
function wp_magic_quotes() {
// If already slashed, strip.
if ( get_magic_quotes_gpc() ) {
$_GET = stripslashes_deep( $_GET );
$_POST = stripslashes_deep( $_POST );
$_COOKIE = stripslashes_deep( $_COOKIE );
}
// Escape with wpdb.
$_GET = add_magic_quotes( $_GET );
$_POST = add_magic_quotes( $_POST );
$_COOKIE = add_magic_quotes( $_COOKIE );
$_SERVER = add_magic_quotes( $_SERVER );
// Force REQUEST to be GET + POST.
$_REQUEST = array_merge( $_GET, $_POST );
}
Безопасно ли мне просто закомментировать вызов wp_magic_quotes () в wp-settings.php? То есть это отрицательно повлияет на нормальный код Wordpress и / или откроет какой-нибудь вектор эксплуатации? Если это так, есть ли другой способ сделать это, кроме изменения кода WP (поэтому мне не приходится иметь дело с этим каждый раз, когда происходит обновление)?
wp_magic_quotes()
выполняется? Я не мог найти исполнение в wp-core.