sanitize_text_field() — Sanitizar entradas do usuário

Tipo Segurança

Nome do erro sanitize_text_field() — Sanitizar entradas do usuário

Severidade Crítico

Desde WordPress 2.9

Descrição Remove tags HTML, codificação extra e caracteres problemáticos de uma string antes de armazená-la no banco de dados.

Causa

Armazenar input do usuário sem sanitização permite injeção de código malicioso (XSS, SQL Injection) que pode comprometer o site e os dados dos usuários.

Como resolver

Use a função de sanitização correta para cada tipo de dado. sanitize_text_field para texto simples, sanitize_email para e-mails, sanitize_url para URLs, wp_kses_post para HTML controlado.

PHP

<?php
// Mapa de sanitização por tipo de dado
function meu_plugin_sanitizar_dados(array $dados): array
{
    return [
        // Texto simples (remove HTML e espaços extras)
        'nome'       => sanitize_text_field(wp_unslash($dados['nome'] ?? '')),

        // Textarea (permite quebras de linha, sem HTML)
        'bio'        => sanitize_textarea_field(wp_unslash($dados['bio'] ?? '')),

        // E-mail
        'email'      => sanitize_email($dados['email'] ?? ''),

        // URL
        'website'    => esc_url_raw($dados['website'] ?? ''),

        // Inteiro
        'idade'      => absint($dados['idade'] ?? 0),

        // Float
        'preco'      => (float) filter_var($dados['preco'] ?? 0, FILTER_SANITIZE_NUMBER_FLOAT, FILTER_FLAG_ALLOW_FRACTION),

        // HTML limitado (permite b, i, em, strong, a)
        'descricao'  => wp_kses($dados['descricao'] ?? '', [
            'a'      => ['href' => [], 'title' => []],
            'b'      => [],
            'strong' => [],
            'em'     => [],
            'i'      => [],
        ]),

        // Slug/chave
        'slug'       => sanitize_key($dados['slug'] ?? ''),
    ];
}

Pro

$wpdb — Queries SQL seguras com prepare()

A classe wpdb é a interface do WordPress com o banco de dados. O método prepare() previne SQL injection usando placeholders tipados.

esc_html() / esc_attr() / esc_url() — Escapar saída de dados

Funções de escaping que convertem caracteres especiais em entidades HTML seguras antes de exibir dados no navegador, prevenindo XSS.

Verificação de Nonce — Proteger formulários contra CSRF

Nonces (numbers used once) protegem formulários e ações do WordPress contra ataques CSRF, garantindo que a requisição originou de uma fonte legítima.

current_user_can() — Verificar capacidades do usuário

Verifica se o usuário atual possui uma determinada capacidade (capability) antes de executar uma ação sensível no WordPress.