Consultas diretas ao banco com $wpdb->prepare
Como montar queries SQL seguras evitando SQL Injection ao usar $wpdb.
Causa
Concatenar valores vindos do usuário diretamente em strings SQL permite que entradas maliciosas alterem a query original (SQL Injection).
Como resolver
Sempre use () com placeholders (%s, %d, %f) para interpolar valores dinâmicos, deixando o WordPress responsável por escapar corretamente cada tipo.
global $wpdb;
$status = 'publish';
$autor = 1;
$resultados = $wpdb->get_results(
$wpdb->prepare(
"SELECT ID, post_title FROM {$wpdb->posts} WHERE post_status = %s AND post_author = %d",
$status,
$autor
)
);meta_query deixando consultas lentas em listagens com muitos filtros
Por que filtros baseados em meta_query podem se tornar um gargalo de performance em sites com muitos posts.
Allowed memory size of X bytes exhausted
Erro fatal disparado quando um script PHP ultrapassa o limite de memória configurado.
Exibindo HTML controlado com wp_kses() e wp_kses_post()
Como permitir que campos personalizados aceitem HTML sem abrir brechas para scripts maliciosos.
Tela branca da morte (White Screen of Death)
Página completamente em branco, sem nenhuma mensagem visível, geralmente causada por um erro fatal silencioso do PHP.
Reduzindo consultas pesadas com a Transients API
Como armazenar temporariamente o resultado de operações custosas (consultas, chamadas externas, cálculos) com expiração automática.
Redirecionando páginas sem o erro “headers already sent” usando template_redirect
Como interceptar a requisição e redirecionar o visitante antes que qualquer HTML seja enviado.