Расширяя ответ @rinogo более глубоким объяснением и предлагая другой обходной путь.

В wp-settings.php есть безусловный призыв к wp_magic_quotes

// Add magic quotes and set up $_REQUEST ( $_GET + $_POST )
wp_magic_quotes();

Wordpress избегает кавычек, несмотря ни на что

function wp_magic_quotes() {
    // If already slashed, strip.
    // Escape with wpdb.
    // Force REQUEST to be GET + POST.
}

Что интересно, хотя этот вызов выполняется после загрузки плагинов , до загрузки темы . Ооочень, в верхней части вашего плагина

// A hack to cope with un-configurable call to wp_magic_quotes
// E.G. Make the original $_POST available through a global $_REAL_POST
$_REAL_GET     = $_GET;
$_REAL_POST    = $_POST;
$_REAL_COOKIE  = $_COOKIE;
$_REAL_REQUEST = $_REQUEST;

Тогда вы можете свободно использовать $_REAL_POST и др. вместо $_POST (помня, что это глобальный , а не суперглобальный ), где вам нужно. Также помните, что, хотя ваш плагин был загружен до темы, если тема вызывает одну из функций плагина, которая использует $_POST, она должна считываться из $_REAL_POST, чтобы получить неэкранированные значения.

Лучший ответ, приведенный здесь, - скопировать для собственного использования, например:

$post = array_map('stripslashes_deep', $_POST);

Однако с этим есть теоретическая проблема: поскольку вы работаете с дубликатом, вы не можете сохранять какие-либо изменения в суперглобальных (эй, я не говорю, что это хорошая практика, хорошо?).

Решение: методы доступа

В попытке решить эту проблему определенным образом и без каких-либо побочных эффектов я создал "методы доступа", которые прозрачно применяются stripslashes_deep() или addslashes_deep()* к запросы на получение/установку следующих суперглобальных массивов:

^{* Мне пришлось скинуть addslashes_deep() вместе с WordPress' stripslashes_deep().}

• $_GET
• $_POST
• $_COOKIE
• $_SERVER
• $_REQUEST

Вы можете использовать их следующим образом:

echo _get('username');    // echo stripslashes_deep($_GET['username']);
_cookie('name', 'value'); // $_COOKIE['name'] = addslashes_deep('value');

Вот код (я называю его gpcsr.php):

<?php

// cat stripslashes_deep() | sed 's/stripslashes/addslashes/g'
function addslashes_deep( $value ) {
    if ( is_array($value) ) {
        $value = array_map('addslashes_deep', $value);
    } elseif ( is_object($value) ) {
        $vars = get_object_vars( $value );
        foreach ($vars as $key=>$data) {
            $value->{$key} = addslashes_deep( $data );
        }
    } elseif ( is_string( $value ) ) {
        $value = addslashes($value);
    }

    return $value;
}

function _generic_slashes_wrap(&$arr, $key, $value = null) {
    if (func_num_args() === 2) return stripslashes_deep($arr[$key]);
    else $arr[$key] = addslashes_deep($value);
}

function _get       ($key, $value = null) { if (func_num_args() === 1) return _generic_slashes_wrap($_GET,      $key); else _generic_slashes_wrap($_GET,        $key, $value); }
function _post      ($key, $value = null) { if (func_num_args() === 1) return _generic_slashes_wrap($_POST,     $key); else _generic_slashes_wrap($_POST,       $key, $value); }
function _cookie    ($key, $value = null) { if (func_num_args() === 1) return _generic_slashes_wrap($_COOKIE,   $key); else _generic_slashes_wrap($_COOKIE,     $key, $value); }
function _server    ($key, $value = null) { if (func_num_args() === 1) return _generic_slashes_wrap($_SERVER,   $key); else _generic_slashes_wrap($_SERVER,     $key, $value); }
function _request   ($key, $value = null) { if (func_num_args() === 1) return _generic_slashes_wrap($_REQUEST,  $key); else _generic_slashes_wrap($_REQUEST,    $key, $value); }

?>

Мне просто пришлось разобраться с этой проблемой, и я нашел, на мой взгляд, довольно хороший обходной путь. Это гарантирует, что GPC никогда не будут разрезаны. Я просто поместил это в начало своего файла плагина (я думаю, это тоже сработало бы в верхней части темы):

add_action( 'init', 'unslash_gpc' );
function unslash_gpc() {
    $_GET       = array_map('stripslashes_deep', $_GET);
    $_POST      = array_map('stripslashes_deep', $_POST);
    $_COOKIE    = array_map('stripslashes_deep', $_COOKIE);
    $_SERVER    = array_map('stripslashes_deep', $_SERVER);
    $_REQUEST   = array_map('stripslashes_deep', $_REQUEST);
}

И теперь все идеально!

Wordpress предоставляет решение для этого с помощью функции wordpress stripslashes_deep. Таким образом, фрагменты, упомянутые в ответе @rinogo, станут следующими:

$_GET     = stripslashes_deep($_GET);
$_POST    = stripslashes_deep($_POST);
$_COOKIE  = stripslashes_deep($_COOKIE);
$_REQUEST = stripslashes_deep($_REQUEST);

Также обратите внимание, что wordpress ничего не говорит о глобальной переменной $_SERVER, поэтому я бы предположил, что это не повлияет.

WordPress добавляет косые черты в $_POST/$_GET/$_REQUEST/$_COOKIE независимо от того, что возвращает get_magic_quotes_gpc(). Таким образом, в контексте WordPress, косые черты() или при использовании этих переменных всегда следует использовать функцию stipslashes_deep().

Или просто делай, как я. Прокомментируйте всю реализацию в load.php метод wp_magic_quotes().

Мне не нужны волшебные кавычки. Это причиняло мне гораздо больше головной боли, чем того стоило. Лично я предпочитаю поддерживать свою собственную дисциплину входной санитарии. Я просто не хочу начинать формировать плохие привычки программирования.

Но я понимаю стремление WordPress включить такую "функцию". Возможно, сообществу разработчиков лучше всего было бы воспользоваться глобальным возможность отключить его.