Я запутался в различном использовании esc_html()
и wp_kses()
. Я понимаю, что esc_html()
преобразует специальные символы в их сущность HTML и wp_kses()
удаляет нежелательные теги (например, <script>
), но я не уверен, в каких контекстах их следует использовать вместе или по отдельности.
Если я пропущу ненадежный HTML-код esc_html()
, то любой JavaScript-код будет отображаться в виде обычного текста, а не отображаться браузером, так что это безопасно на этом этапе, верно? Единственная причина, по которой он wp_kses()
тоже должен быть запущен - это не показывать необработанный скрипт?
По сути, esc_html()
это делает его безопасным и wp_kses()
красивым. Это правильно?
источник