Запитання з тегом «escaping»

Я дивився на код, але я не міг побачити будь-які втечі на таких функціях, як the_title the_content the_excerptт. Д. Я, можливо, не читав його правильно. Чи потрібно уникати таких функцій у розробці тем, як: esc_html ( the_title () ) Редагувати: як зазначено у відповідях нижче, наведений вище код невірно - …

15 security  escaping 

Я отримав відгук від служби безпеки, і він зазначив, що я повинен використовувати належне скасування введення користувачів у своєму коді. Тому я провів кілька досліджень і виявив функції втечі. Яка різниця між ними? Коли я повинен використовувати esc_html()і коли esc_attr()? І коли я повинен використовувати ці функції _e()в кінці?

13 functions  escaping 

Коли ви робите шаблон, такий як single.php, і у вас є PHP, загорнутий у HTML, найкраще: Почати + Зупинити PHP? наприклад <h1 class="post-tilte"><?php the_title(); ?></h1> <p class="post-content"><?php the_content();?></p> Або Echo HTML і Escape PHP? Наприклад - <?php echo '<h1 class="post-title">' . get_the_title() . '</h1> <p class="post-content"' . get_the_content() . '</p> …

11 php  wp-query  escaping 

Я розгублений щодо різних способів використання esc_html()та wp_kses(). Я розумію, що esc_html()перетворює спеціальні символи в їх сутність HTML, і це wp_kses()видаляє небажані теги (наприклад, <script>), але я не впевнений, у яких контекстах вони повинні використовуватися разом або окремо. Якщо я запускаю якийсь недовірений HTML-код esc_html(), то будь-який JavaScript буде відображатися …

11 escaping  sanitization 

Я переглядав багато інформації про тему WP та захист плагінів і розумію концепцію, що вам слід уникати атрибутів та значень HTML у темах та плагінах. Я бачив bloginfo()і echo get_bloginfo()використовував як стандартні, так і всередині esc_html()або esc_attr()функції. Генезис та _s , основна тема Automattic обидва уникають цих значень, але власний …

10 security  options  escaping  bloginfo