Ampliando la respuesta de @rinogo con una explicación más profunda y ofreciendo otra solución.

En wp-settings.php hay una llamada incondicional a wp_magic_quotes

// Add magic quotes and set up $_REQUEST ( $_GET + $_POST )
wp_magic_quotes();

Wordpress escapa de las citas sin importar qué

function wp_magic_quotes() {
    // If already slashed, strip.
    // Escape with wpdb.
    // Force REQUEST to be GET + POST.
}

Lo interesante es que esta llamada se hace después de que se hayan cargado los complementos, antes de que se cargue el tema. Sooo, en la parte superior de su plugin

// A hack to cope with un-configurable call to wp_magic_quotes
// E.G. Make the original $_POST available through a global $_REAL_POST
$_REAL_GET     = $_GET;
$_REAL_POST    = $_POST;
$_REAL_COOKIE  = $_COOKIE;
$_REAL_REQUEST = $_REQUEST;

Entonces puedes usar libremente $_REAL_POST et al en lugar de $_POST (recordando que es un global no un superglobal ) donde usted necesita. También recuerde que mientras su plugin se ha cargado antes del tema, si el tema llama a una de las funciones del plugin que utiliza $_POST, debe leer desde $_REAL_POST para obtener los valores no registrados.

La mejor respuesta proporcionada aquí es copiar para uso propio como:

$post = array_map('stripslashes_deep', $_POST);

Sin embargo, hay un problema teórico con esto: ya que está trabajando con un duplicado, no puede persistir ningún cambio en los superglobales (oye, no estoy diciendo que sea una buena práctica, ¿de acuerdo?).

Solución: métodos de acceso

En un intento de resolver este lío de una manera definida y sin efectos secundarios, hice "métodos de accessor" que se aplican de forma transparente stripslashes_deep() o addslashes_deep()* para obtener / establecer solicitudes a los siguientes arrays superglobales:

^{* Tuve que lanzar addslashes_deep() juntos desde WordPress' stripslashes_deep().}

• $_GET
• $_POST
• $_COOKIE
• $_SERVER
• $_REQUEST

Puedes usarlos como:

echo _get('username');    // echo stripslashes_deep($_GET['username']);
_cookie('name', 'value'); // $_COOKIE['name'] = addslashes_deep('value');

Aquí está el código (yo lo llamo gpcsr.php):

<?php

// cat stripslashes_deep() | sed 's/stripslashes/addslashes/g'
function addslashes_deep( $value ) {
    if ( is_array($value) ) {
        $value = array_map('addslashes_deep', $value);
    } elseif ( is_object($value) ) {
        $vars = get_object_vars( $value );
        foreach ($vars as $key=>$data) {
            $value->{$key} = addslashes_deep( $data );
        }
    } elseif ( is_string( $value ) ) {
        $value = addslashes($value);
    }

    return $value;
}

function _generic_slashes_wrap(&$arr, $key, $value = null) {
    if (func_num_args() === 2) return stripslashes_deep($arr[$key]);
    else $arr[$key] = addslashes_deep($value);
}

function _get       ($key, $value = null) { if (func_num_args() === 1) return _generic_slashes_wrap($_GET,      $key); else _generic_slashes_wrap($_GET,        $key, $value); }
function _post      ($key, $value = null) { if (func_num_args() === 1) return _generic_slashes_wrap($_POST,     $key); else _generic_slashes_wrap($_POST,       $key, $value); }
function _cookie    ($key, $value = null) { if (func_num_args() === 1) return _generic_slashes_wrap($_COOKIE,   $key); else _generic_slashes_wrap($_COOKIE,     $key, $value); }
function _server    ($key, $value = null) { if (func_num_args() === 1) return _generic_slashes_wrap($_SERVER,   $key); else _generic_slashes_wrap($_SERVER,     $key, $value); }
function _request   ($key, $value = null) { if (func_num_args() === 1) return _generic_slashes_wrap($_REQUEST,  $key); else _generic_slashes_wrap($_REQUEST,    $key, $value); }

?>

Solo tuve que lidiar con este problema y encontré lo que creo que es una solución bastante buena. Se asegura de que los GPCs sean nunca recortados. Acabo de poner esto en la parte superior de mi archivo de plugin (que funcionaría en la parte superior de un tema también, creo):

add_action( 'init', 'unslash_gpc' );
function unslash_gpc() {
    $_GET       = array_map('stripslashes_deep', $_GET);
    $_POST      = array_map('stripslashes_deep', $_POST);
    $_COOKIE    = array_map('stripslashes_deep', $_COOKIE);
    $_SERVER    = array_map('stripslashes_deep', $_SERVER);
    $_REQUEST   = array_map('stripslashes_deep', $_REQUEST);
}

Y ahora todo es perfecto!

Wordpress proporciona una solución para esto mediante el uso de la función de wordpress stripslashes_deep. Entonces, los fragmentos mencionados en la respuesta de @rinogo serían:

$_GET     = stripslashes_deep($_GET);
$_POST    = stripslashes_deep($_POST);
$_COOKIE  = stripslashes_deep($_COOKIE);
$_REQUEST = stripslashes_deep($_REQUEST);

También una nota, wordpress no dice nada sobre la variable global $_SERVER, por lo que asumiría que no está afectada.

WordPress agrega barras a get _POST/ _ _GET/ _ _REQUEST/get _COOKIE independientemente de lo que devuelve get_magic_quotes_gpc (). Así que en el contexto de WordPress, stripslashes () o stipslashes_deep() siempre se debe usar cuando se usan esas variables.

O, simplemente haz lo que hice. Comenta toda la implementación en load.el método wp_magic_quotes() de php.

No me sirven las citas mágicas. Esto me estaba causando muchos más dolores de cabeza de los que valía la pena. Personalmente, prefiero mantener mi propia disciplina de saneamiento de insumos. No quiero empezar a formar malos hábitos de programación.

Pero, entiendo WordPress' compulsión para incluir tal "característica". Tal vez la comunidad de desarrollo sería mejor servida con un opción para desactivarlo.