Shinichi Nishikawa's

wp_redirect と wp_safe_redirect

wp_redirect() と wp_safe_redirect() があるんですね。比べてみました。


まず、wp_redirect() は wp-includes/pluggable.php にあるんですね。オレオレwp_redirect()を定義できるということですね。wp_redirect()は色々なところから呼び出されているので、書き換えられるのは便利なような、書き換えて起こってしまうことが怖いような。。。別途、my_redirect()を定義したほうがよい気もします。



wp_sanitize_redirect() も同じ pluggable.php で定義されてます。余計な文字を取り除いたりしてサニタイズしています。

if ( !function_exists('wp_redirect') ) :
 * Redirects to another page.
 * @since 1.5.1
 * @uses apply_filters() Calls 'wp_redirect' hook on $location and $status.
 * @param string $location The path to redirect to
 * @param int $status Status code to use
 * @return bool False if $location is not set
function wp_redirect($location, $status = 302) {
	global $is_IIS;

	$location = apply_filters('wp_redirect', $location, $status);
	$status = apply_filters('wp_redirect_status', $status, $location);

	if ( !$location ) // allows the wp_redirect filter to cancel a redirect
		return false;

	$location = wp_sanitize_redirect($location);

	if ( !$is_IIS && php_sapi_name() != 'cgi-fcgi' )
		status_header($status); // This causes problems on IIS and some FastCGI setups

	header("Location: $location", true, $status);



同じ、pluggable.phpにあるwp_validate_redirect($location, admin_url())がホストをチェックしてます。

if ( !function_exists('wp_safe_redirect') ) :
 * Performs a safe (local) redirect, using wp_redirect().
 * Checks whether the $location is using an allowed host, if it has an absolute
 * path. A plugin can therefore set or remove allowed host(s) to or from the
 * list.
 * If the host is not allowed, then the redirect is to wp-admin on the siteurl
 * instead. This prevents malicious redirects which redirect to another host,
 * but only used in a few places.
 * @since 2.3
 * @uses wp_validate_redirect() To validate the redirect is to an allowed host.
 * @return void Does not return anything
function wp_safe_redirect($location, $status = 302) {

	// Need to look at the URL the way it will end up in wp_redirect()
	$location = wp_sanitize_redirect($location);

	$location = wp_validate_redirect($location, admin_url());

	wp_redirect($location, $status);