Как предотвратить экранирование при сохранении HTML-кода в значении параметра?

У меня есть страница «Параметры темы», на которой пользователь может добавлять определенные параметры, например ссылки в Facebook и т. Д. Один из вариантов - для некоторого рекламного кода, и при его сохранении в качестве опции он снова и снова экранируется.

Каков наилучший подход для сохранения кода, вставленного на страницу администратора, с <textarea>помощью update_option( 'sidebar_code', $_POST['sidebar_code'] );?

stripslashes(wp_filter_post_kses(addslashes($_POST['sidebar_code'])));

но вы должны знать, что фильтр kses не на 100% безопасен.

Я принял другой подход к этому. Я закодировал и расшифровал свои опции с помощью HTML-сущностей. Одна вещь, в которой я не уверен, - открывает ли это неприятную заднюю дверь для людей, чтобы вести компрометирующий HTML через. Я полагаюсь на то, что в любом случае редактировать опции темы будут только администраторы, но, может быть, я наивен?

Вот как это выглядит, когда я сохраняю опцию:

update_option('my_option', htmlentities(stripslashes($_REQUEST['my_option'])));

И вот как это выглядит, когда я получаю опцию:

html_entity_decode(get_option('my_option',htmlentities($my_default_value)));

Это не полный ответ на ваш вопрос, но, возможно, указывает правильное направление: вы можете попробовать <?php esc_textarea( $text ) ?>, как подробно описано в кодексе здесь: http://codex.wordpress.org/Function_Reference/esc_textarea .

Мои собственные фрагменты metabox textarea выглядят так:

<?php 
  if ( $meta_box['type'] == "textarea" ) {
    $meta_box_value = esc_textarea( get_post_meta($post->ID, $meta_box['name'].'_value', true) );
    echo '<textarea class="meta-textarea" style="width: 100%;" cols="20" rows="2" name="' . $meta_box['name'] . '_value">' . $meta_box_value . '</textarea><br />';
  }
?>