Esc_*函数之间有什么不同?

时间:2010-09-11 作者:Jiew Meng

我读过专业的WordPress,上面写着:

esc_html 函数用于清除包含HTML的数据。此函数将特殊字符编码到其HTML实体中

esc_attr 函数用于转义HTML属性

esc_url. 此函数用于清除URL中的非法字符。尽管href在技术上是一个HTML属性

这两者有什么区别?

如果我有

<script>alert(\'hello world!\');</script>this is some content
都会< > 转换为&lt; &gt;? URL是否类似%xxx?

1 个回复
最合适的回答,由SO网友:Rarst 整理而成

esc_htmlesc_attr 几乎相同,唯一的区别是输出通过不同名称的过滤器(esc_htmlattribute_escape 分别)。

esc_url 更为复杂和具体,它处理URL和允许的协议中不能包含的字符(可以将其列表作为第二个参数传递)。它还将使用http:// 协议,如果它不存在(并且链接不是相对的)。

结束
标签: security   escaping   sanitization   小码农  

相关推荐

Security and .htaccess

大约一个月前,我在一个与爱好相关的托管服务器上创建了一个WordPress博客。所以,我目前还不熟悉这一点。由于我担心安全性,我做的一件事就是安装插件WP安全扫描。根据插件结果,我的网站会被检查出来,但我在结果中看到的是一个红旗:文件。wp admin中不存在htaccess/(我在那里ssh了,它不存在)好的,所以我在这个问题上做了大量的搜索,找到了太多的信息。htaccess。我在WordPress上经历了强化WordPress。org网站等,也遇到了这篇文章:http://digwp.com/201