У меня есть страница «Параметры темы», на которой пользователь может добавлять определенные параметры, например ссылки в Facebook и т. Д. Один из вариантов - для некоторого рекламного кода, и при его сохранении в качестве опции он снова и снова экранируется.
Каков наилучший подход для сохранения кода, вставленного на страницу администратора, с <textarea>помощью update_option( 'sidebar_code', $_POST['sidebar_code'] );?
Ответы:
stripslashes(wp_filter_post_kses(addslashes($_POST['sidebar_code'])));но вы должны знать, что фильтр kses не на 100% безопасен.
Я принял другой подход к этому. Я закодировал и расшифровал свои опции с помощью HTML-сущностей. Одна вещь, в которой я не уверен, - открывает ли это неприятную заднюю дверь для людей, чтобы вести компрометирующий HTML через. Я полагаюсь на то, что в любом случае редактировать опции темы будут только администраторы, но, может быть, я наивен?
Вот как это выглядит, когда я сохраняю опцию:
update_option('my_option', htmlentities(stripslashes($_REQUEST['my_option'])));И вот как это выглядит, когда я получаю опцию:
html_entity_decode(get_option('my_option',htmlentities($my_default_value)));Это не полный ответ на ваш вопрос, но, возможно, указывает правильное направление: вы можете попробовать <?php esc_textarea( $text ) ?>, как подробно описано в кодексе здесь: http://codex.wordpress.org/Function_Reference/esc_textarea .
Мои собственные фрагменты metabox textarea выглядят так:
<?php
if ( $meta_box['type'] == "textarea" ) {
$meta_box_value = esc_textarea( get_post_meta($post->ID, $meta_box['name'].'_value', true) );
echo '<textarea class="meta-textarea" style="width: 100%;" cols="20" rows="2" name="' . $meta_box['name'] . '_value">' . $meta_box_value . '</textarea><br />';
}
?>