如何清理 WordPress 中的用户密码信息？

Question

我正在我的 WordPress 网站上的自定义注册表单中获取用户名、电子邮件和密码。 我正在使用sanitize_user() sanitize_email()用户名， sanitize_user() sanitize_email()电子邮件地址。

例如：

$username = sanitize_user( $username );
$email = sanitize_email( $email );

我应该如何清理用户输入的密码？ 我能想到的只是sanitize_text_field( $pass )但我确定这不是正确的方法。

参考：

• http://codex.wordpress.org/Function_Reference/sanitize_user
• http://codex.wordpress.org/Function_Reference/sanitize_email

Answer 1

消毒不一定能保护您免受注射。 为了防止这种情况，您需要使用准备好的语句 - 或者在 WordPress 的情况下，使用$wpdb 类。

清理只是去除无效字符，在您上面给出的情况下，它会删除用户名中不允许的字符，或有效电子邮件地址中不允许的字符。 密码允许使用许多不同的字符类型，因为这就是它们“强大”的原因，因此您不想将它们删除。

如果您使用wp_insert_user()创建一个 WP 用户，那么您无论如何都不需要对其进行清理，该函数将为您处理所有这些。

Answer 2

如前所述，您可以使用sanitize_text_field()函数。 它可能会导致一些带有特殊字符等的疯狂密码出现问题。

不过应该没问题。

Answer 3

wp_insert_user()消毒状态和过滤器关闭 (2021) WordPress 5.7

---

wp_insert_user()和user_pass默认：

• 通过wp_hash_password()散列user_pass 。

不应消毒。

---

wp_insert_user()和user_login默认：

• 通过sanitize_user()清理user_login 。
• 通过empty()过滤user_login 。
• 通过mb_strlen过滤user_login 。 （最多 60 个字符）。
• 通过username_exists()将user_login与用户进行比较。
• 比较user_login通过illegal_user_logins非法用户登录。

---

wp_insert_user()和user_nicename默认情况下：

• 通过sanitize_user()清理user_nicename 。
• 过滤user_nicename通过mb_strlen 。 （最多 50 个字符）。
• 通过sanitize_title()清理user_nicename 。

---

wp_insert_user()和user_email默认情况下：

• 没有明显的消毒。
• 通过empty()过滤user_email 。
• 通过strcasecmp将user_email与旧的进行比较。
• 比较user_email通过email_exists()到老。

---

wp_insert_user()和user_url ， display_name ， nickname ， first_name ， last_name ， last_name ， description ，默认情况下：

• 没有明显的消毒。
• 没有明显的过滤器。
• 没有明显的比较。

---

来源

• user.php @ https://github.com/WordPress/WordPress/blob/master/wp-includes/user.php