在 Wordpress 中,如何过滤在主题管理中保存 vimeo 嵌入代码的文本区域?通过 update_post_meta 保存到数据库时,使用 sanitize_text_field 会使代码无法使用。
$postmeta = sanitize_text_field( $_POST['embed_video']);
update_post_meta($post_id, 'embed_video',$postmeta );
【问题讨论】:
[iframe],它允许在所见即所得页面/帖子编辑器中嵌入视频代码:wordpress.org/plugins/iframe
我经常从另一个角度处理 wordpress 视频嵌入,例如在模板中创建嵌入代码,而不是让别人像这样嵌入视频:
<iframe src="http://player.vimeo.com/video/69277800?title=0&byline=0&portrait=0&badge=0" width="577" height="325" frameborder="0" webkitAllowFullScreen mozallowfullscreen allowFullScreen></iframe>
我会让他们插入 id,在本例中为 69277800。然后我会放入我的模板
<?php if(!empty($video_id)):?>
<iframe src="http://player.vimeo.com/video/<?php echo $video_id;?>?title=0&byline=0&portrait=0&badge=0" width="577" height="325" frameborder="0" webkitAllowFullScreen mozallowfullscreen allowFullScreen></iframe>
<?php endif;?>
【讨论】:
我建议您将视频的 URL 保存在文本输入中(继续使用 sanitize_text_field()),然后使用 WordPress 的 wp_get_oembed() 函数输出嵌入代码。这将适用于各种允许的提供商,例如 Youtube 和 Vimeo。只要您使用允许的提供者,这种方法就更安全,而且我相信如果您使用的人不太清楚,可以将提供者添加到白名单中。
$input = get_post_meta( $post->ID, '_my_meta_input', true );
echo wp_oembed_get( $input );
此外,您可以将iframe 列入白名单并使用wp_kses() 清理文本区域,如我的回答here 所示。
【讨论】: