Я дивився на код, але я не міг побачити будь-які втечі на таких функціях, як the_title the_content the_excerptт. Д. Я, можливо, не читав його правильно. Чи потрібно уникати таких функцій у розробці тем, як:
esc_html ( the_title () )
Редагувати: як зазначено у відповідях нижче, наведений вище код невірно - код повинен був прочитати
esc_html ( get_the_title () )
Відповіді:
Утеча повністю залежить від контексту, в якому ви використовуєте функції. Те, що є безпечним для відображення всередині <h1>тегів, не обов'язково є безпечним для відображення для valueатрибута поля введення, і навіть це не обов'язково може бути безпечним як hrefзначення атрибута ....
Коротше кажучи - виконайте санітарну обробку самостійно, коли ви виводите її. Хоча у випадку the_title ()або get_the_title (), esc_htmlце не потрібно, оскільки WordPress застосовує такі функції:
Примітка: the_title друкує заголовок - тому esc_html ( the_title () )не вийде. Аналогічно the_contentдрукується вміст (у будь-якому випадку ви очікуєте, що вміст відобразить HTML).
the_title_attribute()
Так і ні - залежить від того, хочете ви, щоб HTML у цих функціях виводився чи ні. Якщо the_content(), наприклад, ви втекли , і він містить <div>тег, цей тег фактично буде виведений на сторінку як <div>замість цього.
До речі, якщо уникнути виведення цих функцій, ви хочете використовувати їхні еквіваленти "get_" (наприклад get_the_content()), оскільки ці функції перегукуються безпосередньо з їх результатами.
Ви можете просто написати таку функцію, як і прикріпити її до the_title filter:
function my_escape_title( $title ){
return esc_html( $title );
}
add_filter( 'the_title', 'my_escape_title' );
the_contentколи виводиться HTML з редактора TinyMCE, в який ви вводите. Це більше зарезервовано для введення форми або даних, створених на передній частині, наприклад, вашими користувачами.