将esc_html与HTML净化器和CSSTidy一起使用:过度杀伤力? 时间:2013-02-13 作者:Emerson Maningo 目前,Wordpress主题选项面板中的我的文本区域输入(接受用户自定义CSS输入)由Wordpress中的esc\\u html函数进行清理http://codex.wordpress.org/Function_Reference/esc_html然而,我正在考虑一种安全的方法,因此我想添加HTML净化器和CSSTidy,如下图所示:https://stackoverflow.com/questions/3241616/sanitize-user-defined-css-in-php这有必要吗?或者像esc\\U html这样的Wordpress核心功能已经使用html净化器,所以不再需要它了。请告知。谢谢 1 个回复 最合适的回答,由SO网友:Mark Kaplun 整理而成 如果您只担心管理面板,那么esc\\u html就足够了,因为它将转换每个“<;”&输入;lt;消除了插入有效HTML标记的可能性。但是如果将CSS添加到生成的HTML中,则可能需要使用wp_kses 作用$css = wp_kses($css,array(),array()); 应该从CSS中删除所有可能的HTML。但如果用户有unfiltered_html 功能,通常是独立站点的管理员。 结束 文章导航
