Plugin deve realizar higienização, escape e validação de dados

[andrekutianski]

Quando você inclui chamadas POST/GET/REQUEST/FILE em seu plugin, é importante sanitizar, validar e escapar delas. O objetivo aqui é evitar que um usuário envie acidentalmente dados de lixo pelo sistema, além de protegê-los de possíveis problemas de segurança.

SANITIZE: Os dados inseridos (por um usuário ou automaticamente) devem ser higienizados o mais rápido possível. Isso diminui a possibilidade de vulnerabilidades XSS e ataques MITM onde os dados postados são subvertidos.

VALIDAR: Todos os dados devem ser validados, não importa o quê. Mesmo quando você higienizar, lembre-se que você não quer que alguém coloque 'cão' quando os únicos valores válidos são números.

ESCAPE: Os dados que são emitidos devem ser escapados corretamente quando são ecoados, para que não possam seqüestrar as telas de administração. Existem muitas funções esc_*() que você pode usar para garantir que não mostre às pessoas os dados errados.