esc_url、esc_html、esc_attr的用法...函数
esc_url、esc_html、esc_attr的用法...函数
提问于 2015-01-20 01:08:29
什么时候确实需要或者是使用转义函数的一个好的实践?
例如,将esc_url();与以下各项一起使用:
get_template_directory_uri();
get_permalink();
get_author_posts_url();
get_edit_post_link();
wp_get_attachment_url();和具有以下特性的esc_html();:
get_the_title();
get_the_author();
get_the_date();
get_search_query();另外,我认为esc_html();和esc_attr();非常相似,不是吗?有什么不同?
回答 1
Stack Overflow用户
回答已采纳
发布于 2015-02-13 05:49:02
第1部分
根据WP贵宾团队的文档- Validating, Sanitizing, and Escaping。
指导原则
anything.
- Never
- 从不信任用户输入。对于来自不受信任的来源(如数据库和用户)、第三方(如possible.
- Escape )等的所有内容,
- 都会延迟到
- 逃脱。
- 从不假设better.
- Never信任用户input.
- Sanitation没有问题,但验证/拒绝是信任用户输入。
说:“逃脱不仅仅是为了保护自己免受坏人的伤害。它只是让我们的软件更耐用。反对随机的错误输入,反对恶意输入,或者反对恶劣天气。“-nb
第2部分
- Codex条目的
- Codex条目
根据CSS-Tricks的Andy Adams的文章- Introduction to WordPress Front End Security: Escaping the Things。
函数:
esc_html
用于:输出中绝对没有HTML的输出。
它的作用:将超文本标记语言的特殊字符(如<、>、&)转换为它们的“转义”实体(<、>、&)。
函数:
esc_attr
用于:在HTML属性的上下文中使用的输出(如"title“、"data-”字段、"alt“文本)。
它的用途:与esc_html完全相同。唯一的区别是对每个函数应用了不同的WordPress过滤器。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/28029992
复制相关文章
相似问题
腾讯云开发者
