wordpress - esc_url, esc_html, esc_attr ... 函数的使用

Question

什么时候绝对需要或作为使用转义函数的好习惯？

如使用 esc_url();和:

get_template_directory_uri();
get_permalink();
get_author_posts_url();
get_edit_post_link();
wp_get_attachment_url();

和 esc_html();和:

get_the_title();
get_the_author();
get_the_date();
get_search_query();

我也觉得 esc_html();和 esc_attr();非常相似，不是吗？有什么区别？

Answer 1

第1部分
根据文档 - Validating, Sanitizing, and Escaping由 WP VIP 团队提供。
指导原则

永远不要相信用户输入。

尽可能晚地逃跑。

摆脱不受信任的来源(如数据库和用户)、第三方(如 Twitter)等的一切。

永远不要假设任何事情。

永远不要相信用户输入。

卫生还可以，但验证/拒绝更好。

永远不要相信用户输入。

“Escaping isn’t only about protecting from bad guys. It’s just making our software durable. Against random bad input, against malicious input, or against bad weather.” –nb

第2部分

esc_html 的法典条目

esc_attr 的法典条目

根据文章- Introduction to WordPress Front End Security: Escaping the Things作者:CSS-Tricks 的 Andy Adams。

Function: esc_html

用于:输出中绝对没有 HTML 的输出。
它的作用:将 HTML 特殊字符(例如 < 、 > 、 & )转换为它们的“转义”实体( < 、 > 、 & )。

Function: esc_attr

用于:在 HTML 属性上下文中使用的输出(想想“title”、“data-”字段、“alt”文本)。
它的作用:与 esc_html 完全相同.唯一的区别是不同的 WordPress 过滤器应用于每个功能。