Üstad bu soruyu anlayan bile azken yardım edebilecek tr'de kaç coder vardır bilemedim şimdi. wordpress geliştiricilerine sormayı denedin mi?
Yabancı birkaç arkadaşıma sordum benim paranoyakça düşündüğümü ve temel wordpress fonksiyonlarının yeterli geleceğini söylediler. Ama ben buna katılmıyorum. Kolaya kaçayım diye 2 ay sonra XSS'e maruz kalmış bir müşteri de istemiyorum.
wp_kses_post() kullanın. XSS için script taglarını yüklemeleri lazım. Kendiniz test edebilirsiniz. script taklarını direk engelliyor.
Benim de aklıma ilk wp_kses() geldi. Ancak wp_kses() ilk tercihim olmadı asla her zaman intval, sanitize_text_field ve yer yer esc_attr ile işimi gördüm. Konuda yazdığım gibi wp_kses'i araştırınca stackoverflow'da bir kişinin wp_kses ile XSS yediğini gördüm.
Başka kimseler de wp_kses'in bir ihtmal izin verdiği tag'ler içeresinde manipüle edilmiş olabileceğini söylemişlerdi. Örnek kodlar:
https://brutelogic.com.br/blog/advan...pt-injections/
Araştırmalarım sırasında HTML Purifier'in çok tercih edildiğini farkettim. Şimdiye kadar kullandığım bir library olmadı asla.
Sizin düşünceniz nedir?