Jeder kann sich Zement und Backsteine im Baumarkt kaufen und sein eigenes Haus errichten, und es sieht beim Einzug großartig aus. Der Fachmann sieht potentiell jedoch bereits in der Bauphase kommende Risse in den Wänden und den Schimmel im Keller.

Das ist nicht abwertend gemeint. Vielleicht treffen einen diese Probleme niemals, vielleicht jedoch schon nächste Woche. Deshalb sollte man diese Probleme wenn möglich bereits im Ansatz verhindern.

Konkret: jeder Input, der von Außen kommt, kann auf keinem Fall getraut werden und enthält potentiell schadhaften Code, der beim Durchreichen an die Datenbank diese auf boshafte Weise verändert oder ungewollt Daten preisgibt. Dies soll verhindern, was man grob unter "Sanitation" zusammen fasst.

State of the Art sollte sein, dass der Datenbank-Code dies für den Programmierer übernimmt, was (afaik) Wordpress umsetzt.

Das Problem hier ist, dass $_POST immer noch rohe Input-Daten enthält. Moderene PHP-Lösungen bieten bereits eine Abstraktionsschicht, die einem nur Zugriff auf gefilterte Eingaben erlaubt, und nicht auf $_POST direkt.

Wordpress hat eine lange Geschichte, was würdig und recht ist, bietet jedoch nicht solche als "State of the Art" angesehen und für den Laien nicht offensichtlichen Konzepte. $_POST is roh, man kann dir damit praktisches alles unterjubeln!

Ein Entwickler, der Mangels anderer Methoden direkt auf $_POST zugreift, was hier passiert, sollte selbst dafür sorgen, das der Input den Erwartungen entspricht. Was ist, wenn ich dir kein Array in $_POST['filter'] sende, sondern einen String? Das liegt dann in deiner Verantwortung zu testen, ansonsten tritt (unter günstigsten Umständen nur) eine Fehlermeldung auf.

Dazu kommen andere als allgemein akzeptierte Regeln: greife niemals auf globale Variablen zu. Sorge dafür, dass es eine Eingangstür gibt, über die Input-Daten eintreffen. Test Input Daten an dieser Eingangstür, weil sie dir schaden könnten, erst danach vertraue ihnen.

Gruß
Schlaefer


PS: Disclaimer: Kein Wordpress Fachmann.