Поддержка Проблемы и решения Дезинфекция. Что выбрать вместо sanitize_text_field

  • В админке get-параметр my_var (в нормальном состоянии состоит из букв и цифр) оказался уязвим к атакам типа Reflected Cross-Site Scripting

    Т.е если вместо вызова

    https://site.ru/admin.php?page=post&my_var=1st

    сделать вызов типа:

    https://site.ru/admin.php?page=post&my_var=»»+style%3Danimation-name%3Arotation+onanimationstart%3Dalert%281%29+x

    То сработает alert

    Сейчас в коде дизенфекцию выполняю так:

    sanitize_text_field( $_GET['my_var'] ); 

    Подскажите, чем заменить, чтобы защититься от такой бяки и не поломать выходные данные?

    Пробовал

    esc_url( $_GET['my_var'] ); 

    но тогда в нормальных условиях значение переменной вместо 1st становится https://1st т.е функция esc_url после обработки добавляет протокол к значению переменой.

Просмотр 1 ответа (всего 1)
Просмотр 1 ответа (всего 1)