Я посмотрел на код, но я не мог увидеть какие-либо экранирующие функции, например, the_title the_content the_excerptи т. Д. Я, возможно, не правильно его читал. Нужно ли мне избежать этих функций в разработке темы, как: esc_html ( the_title () ) Изменить: как указано в ответах ниже, приведенный...
Я получил ответ от охранника, и он указал, что я должен использовать правильное экранирование пользовательского ввода в моем коде. Итак, я провел некоторое исследование и нашел экранирующие функции. Какая разница между ними? Когда я должен использовать esc_html()и когда esc_attr()? И когда я должен...
Я запутался в различном использовании esc_html()и wp_kses(). Я понимаю, что esc_html()преобразует специальные символы в их сущность HTML и wp_kses()удаляет нежелательные теги (например, <script>), но я не уверен, в каких контекстах их следует использовать вместе или по отдельности....
Когда вы делаете шаблон, такой как single.php, и у вас есть php, завернутый в html, лучше всего: Старт + Стоп PHP? например <h1 class="post-tilte"><?php the_title(); ?></h1> <p class="post-content"><?php the_content();?></p> Или же Эхо HTML и Escape PHP? Например...
Я просмотрел много информации о безопасности тем и плагинов WP и понял, что вы должны избегать атрибутов и значений HTML в темах и плагинах. Я видел bloginfo()и echo get_bloginfo()использовал как стандартные, так и внутри esc_html()или esc_attr()функции. Genesis и _s , базовая тема Automattic оба...
У меня есть страница «Параметры темы», на которой пользователь может добавлять определенные параметры, например ссылки в Facebook и т. Д. Один из вариантов - для некоторого рекламного кода, и при его сохранении в качестве опции он снова и снова экранируется. Каков наилучший подход для сохранения...
http://core.trac.wordpress.org/browser/trunk/wp-includes/formatting.php#L2239 Я не понимаю, когда следует использовать любой из них. Предполагая, что у меня есть этот URL:, http://site.com/?getsomejavascript=1который является динамически генерируемым JavaScript: если я включаю сценарий с...
Я прочитал Профессиональный WordPress, и он говорит: esc_htmlФункция используется для очистки данных, содержащих HTML. Эта функция кодирует специальные символы в свои объекты HTML esc_attr функция используется для экранирования атрибутов HTML esc_url, Эта функция должна использоваться для очистки...
В чем разница между фильтром esc_htmlи attribute_escapeфильтром? esc_html()использует esc_html filterи esc_attr()использует attribute_escape filter. Оба кодируют <> & "'(меньше, больше, амперсанд, двойная кавычка, одинарная кавычка). Мне интересно знать, что именно отличает их с точки...