Muss ich mit WordPress SQL Injection umgehen

Muss ich Strings gegen MySQL Injection vorbereiten, wenn ich mit einer WordPress-Kommentarfunktion wie der folgenden in die database einfüge:

$data = array( 'comment_post_ID' => $post_id, 'comment_author' => $comment_author, 'comment_author_email' => $comment_email, 'comment_content' => $comment_body, 'comment_type' => '', 'comment_parent' => 0, 'user_id' => 1, 'comment_author_IP' => '127.0.0.1', 'comment_agent' => 'Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10 (.NET CLR 3.5.30729)', 'comment_date' => $time, 'comment_approved' => 1, ); wp_insert_comment($data); 

Update: Von dieser Seite aus sieht es so aus, als würde es all dies behandeln, aber HTML / PHP-Tags nicht entfernen; Ist das an sich schon ein Abstreifen auf rein sicherheitstechnischer Basis?

Solutions Collecting From Web of "Muss ich mit WordPress SQL Injection umgehen"

Übergeordnete API-functionen wie diese in WP führen typischerweise den $wpdb->prepare() , um sich vor MySQL-Injektionen zu schützen.

Wie für den Inhalt standardmäßig erlauben Kommentare HTML, aber es ist nicht alles. Wenn Sie default-filters.php gibt es eine ganze default-filters.php Desinfektionsfunktionen, die an die Verarbeitung von Kommentardaten default-filters.php sind, einschließlich wp_kses_post() die HTML auf eine weiß aufgeführte Untermenge beschränkt.