本文详解如何在 wordpress 短代码插件中安全地捕获 get 表单数据、赋值给 php 变量,并通过 `echo` 动态输出,重点解决因缺少表单容器和未校验提交状态导致的变量为空问题。
在 WordPress 插件开发中,直接使用 $_GET["firstname"] 而不包裹在
'; // ✅ 仅当表单提交后才处理数据 if ( isset( $_GET['send_btn'] ) && ! empty( $_GET['firstname'] ) ) { // 使用 esc_html() 防止 XSS,确保输出安全 $firstname = sanitize_text_field( $_GET['firstname'] ); echo 'You wrote: ' . esc_html( $firstname ) . '
'; } } add_shortcode( 'addContent', 'addContent' );
? 重要注意事项:
- 永远不要在未校验前提下直接访问 $_GET 或 $_POST —— 必须用 isset() + !empty()(或更严格的验证)兜底;
- 务必对用户输入进行过滤与转义:sanitize_text_field() 清理输入,esc_html() 安全输出,防止跨站脚本(XSS)攻击;
- 若需处理敏感或大量数据,建议改用 POST 方法 + wp_nonce_field() 实现 CSRF 防护;
- 短代码函数中避免裸露 echo 多次拼接,生产环境推荐使用输出缓冲(ob_start())或构建完整 HTML 字符串后统一返回。
通过以上结构化处理,你的短代码 [addContent] 就能在任意文章/页面中稳定运行:首次访问显示空白表单,提交后精准显示经净化的用户输入——兼顾功能性、安全性与 WordPress 最佳实践。
