Les fonctions par défaut telles que update_post_meta peuvent-elles utiliser les entrées utilisateur en toute sécurité?

Ne laissez jamais rien au hasard, nettoyez toujours, échappez et validez toutes les données provenant de formulaires et de super-globaux tels que $_GET et $_POST en fonction de vos besoins et du type de données vous attendez.

Il est toujours bon de configurer votre code de manière à ce que, en cas d'échec de votre validation, vous n'exécutiez pas inutilement de scripts ni de fonctions. Avoir une sorte de coffre-fort qui gérera correctement l'échec

Après avoir voté @ la réponse de pieter ....

Récemment, j’ai réalisé qu’il était bien préférable de traiter les "mauvaises" données avec élégance lorsqu’elles sont utilisées (en général cela signifie échapper, mais aussi valider) plutôt qu’au moment de la saisie. La corruption des données peut survenir non seulement à cause d'un processus fastidieux de "chier" sur vos données, mais également lorsque l'environnement a été modifié et que les données ne sont plus aussi pertinentes (un plugin a été désactivé).

La validation vaut la peine si vous voulez alerter l’utilisateur, sinon il pourrait s’agir d’une sorte d’état intermédiaire difficile à protéger et à donner un retour utile (changements en direct du personnaliseur).

Pour l’assainissement, j’utilise simplement les API wordpress pour l’accès à la base de données et les laisse gérer ce côté-là, mais j’ai le sentiment que c’est habituellement une perte de temps de faire autre chose que cela.

Tout dépend du contexte. Dans votre cas, la question que vous devez vous poser est de savoir si vous souhaitez même supprimer la valeur, car la suppression signifie que la valeur demandée par un utilisateur ne sera pas affichée comme il le souhaitait.