$wpdb — Queries SQL seguras com prepare()
Pro
esc_html() / esc_attr() / esc_url() — Escapar saída de dados
Funções de escaping que convertem caracteres especiais em entidades HTML seguras antes de exibir dados no navegador, prevenindo XSS.
sanitize_text_field() — Sanitizar entradas do usuário
Remove tags HTML, codificação extra e caracteres problemáticos de uma string antes de armazená-la no banco de dados.
current_user_can() — Verificar capacidades do usuário
Verifica se o usuário atual possui uma determinada capacidade (capability) antes de executar uma ação sensível no WordPress.
Verificação de Nonce — Proteger formulários contra CSRF
Nonces (numbers used once) protegem formulários e ações do WordPress contra ataques CSRF, garantindo que a requisição originou de uma fonte legítima.