何时使用esc_url、esc_html、esc_attr和好友?

时间:2013-02-28 作者:Brendan

已发现esc_url 今天在自定义_s 主题我了解该函数的作用(清理内部的URL),但我不确定它的使用范围。

对我来说,如果我接受用户的URL输入,我会使用它。但是当我看到一个显示条目元信息的函数时(see it here...第129行),它使用esc_url, 这对我来说毫无意义。

如果我正在处理一个主题,我是否需要转义我放在模板文件中的任何URL?

1 个回复
SO网友:Mark Kaplun

这些函数用于生成有效的HTML,而不是清理输入。当您不能百分之百确定要输出的内容是该上下文的有效HTML时,应该随时使用它们。

你应该逃避一切吗?我想,美国主题人物认为安全比抱歉更好,这是有一定道理的。

结束
标签: theme-development   functions   customization   security   小码农  

相关推荐

How to load WP functions?

我有一个mymail.php 发送电子邮件的脚本(我使用require_once( $_SERVER[\'DOCUMENT_ROOT\'] . \'/wp-includes/class-phpmailer.php\' );.) 并输出纯文本字符串(如“电子邮件发送成功”)我想在我的脚本中使用WP中定义的函数。我要调用的特定函数是get_option() 以检索网站所有者的电子邮件用户。要为特定get_option() 函数以及导入整个WP核心的内容(如主题的.php文件可用的上下文)?