使用 PHI 信息进行 SQL 调用时，WordPress $wpdb 对象是不是安全？

Posted 2023-03-26

【中文标题】使用 PHI 信息进行 SQL 调用时，WordPress $wpdb 对象是不是安全？

【英文标题】：Is the WordPress $wpdb object secure for making SQL calls with PHI information?使用 PHI 信息进行 SQL 调用时，WordPress $wpdb 对象是否安全？

【发布时间】：2020-03-12 17:45:15

【问题描述】：

我正在构建一个需要符合 HIPAA 的网站，并且想知道使用 WordPress $wpdb 对象进行 SQL 是否安全可靠？ $wpdb 对象将与 PHI（受保护的健康信息）一起使用，因此我想确保这不会违反任何规定。

手动创建 SQL 对象并调用外部数据库而不是使用 $wpdb 对象会更好吗？有很大的不同吗？

如果有更好的方法来安全地完成 SQL 调用，请告诉我。谢谢！

注意：此请求适用于需要在 WordPress 上建立 HIPAA 投诉网站的客户，该网站目前位于 Amazon EC2 和 Amazon RDS（均符合 HIPAA 标准）上。

WordPress 抨击或谈论其“漏洞历史”是一种有偏见的观点。无数机构和企业现在都在运行 WordPress PHI 解决方案。

不知道为什么在没有 cmets 的情况下会有反对票，但首先要解释为什么会有反对票。请解释你的反对票。对实际问题的可靠答案会更好！

【参考方案1】：

这个past answer 可以确认 $wpdb 只要正确完成就可以安全使用，不过我想征求第二个意见。

我在网上看到的任何文章都没有专门引用与 PHI 数据一起使用的 $wpdb 对象，但现在我可以从上面的链接中假设它是一个安全对象。

【讨论】：

这是一个较旧的答案，但我只是想为未来的读者权衡一下。 $wpdb 对象在遵循官方记录的用法时，与任何其他经过实战考验的 DBAL 一样安全。然而，主要的潜在问题是它是一个全局对象，可以透明地与恶意替代品交换，并且它通过过滤器发出事件以供所有代码读取。这意味着每个插件或主题都有可能是邪恶的或泄露您的数据，因此在选择、安装和更新这些插件或主题时应谨慎。

谢谢，克里斯。该项目不包含任何插件或主题。它是无头 WP 和定制的！