回声中的esc_attr / esc_html / esc_url
回声中的esc_attr / esc_html / esc_url
提问于 2017-03-17 09:30:43
嗨,我正在试图了解我应该何时和为什么使用这些esc替代方案,到目前为止,我认为我理解需要确保输入不包含错误的字符,并在造成错误/安全威胁。
我仍然想知道的是,我应该总是在HTML字段中使用esc_attr,还是使用联系人表单的输入字段?我是否应该总是使用esc_url作为我自己的urls,例如图像src路径?
那么the_title()呢?我应该对代码中的所有回波使用这些转义,还是只在用户可能输入的情况下使用?
回答 1
WordPress Development用户
发布于 2017-03-17 09:50:53
如果需要转义的值是从代码中完全生成的,就像通常在管理屏幕中一样,那么是的,总是转义。
当您需要输出核心API的结果时,情况会变得更加复杂,因为它们不一致,最好深入研究代码,看看API返回的值是否已经被转义,the_title可能被转义,但是如果使用API获取标记名,则需要转义它。
更困难的情况是,您的输出只是一些较高的核心层的输入,比如您在过滤器或小部件中返回的值。小部件很讨厌,因为在前端,除了小部件标题之外,您应该转义表单中的所有值。
经验法则,如果在核心或核心主题中有一个类似的功能,看看他们如何处理转义和做同样的事情。
页面原文内容由WordPress Development提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://wordpress.stackexchange.com/questions/260427
复制相关文章
相似问题
腾讯云开发者
