Должен ли я избежать функций WordPress, таких как the_title, the_excerpt, the_content

Я посмотрел на код, но я не мог увидеть какие-либо экранирующие функции, например, the_title the_content the_excerptи т. Д. Я, возможно, не правильно его читал. Нужно ли мне избежать этих функций в разработке темы, как:

esc_html ( the_title () )

Изменить: как указано в ответах ниже, приведенный выше код неверен независимо - код должен был прочитать esc_html ( get_the_title () )

Экранирование полностью зависит от контекста, в котором вы используете функции. То, что безопасно для отображения внутри <h1>тегов, не обязательно безопасно для valueатрибута поля ввода, и даже это не обязательно будет безопасно в качестве hrefзначения атрибута ....

Короче - выполняйте дезинфекцию самостоятельно, когда вы ее выводите. Хотя в случае the_title ()или get_the_title (), esc_htmlэто не обязательно, поскольку WordPress применяет следующие функции:

• convert_chars
• wptexturize

Примечание: the_title печатает заголовок - поэтому esc_html ( the_title () )не будет работать. Точно так же the_contentпечатает контент (в любом случае вы ожидаете, что контент будет отображать HTML).

Да и нет - зависит от того, хотите ли вы выводить html в этих функциях или нет. Если вы the_content(), например, экранируете , и он содержит <div>тег, этот тег будет фактически выводиться на страницу как <div>взамен.

Между прочим, если вы избежите вывода этих функций, вы захотите использовать их эквиваленты "get_" (например get_the_content()), так как эти функции напрямую отражают их вывод.

Вы можете просто написать такую ​​функцию и подключить ее к фильтру the_title :

function my_escape_title( $title ){
    return esc_html( $title );
}
add_filter( 'the_title', 'my_escape_title' );