好吧，所有用户输入都应该被清理。。。如果您注入的url不是用户输入（例如，您完全信任的人的站点设置、硬编码值），则您可以从esc url中释放自己。

但如果我可以将该url注入到您的站点，我就可以轻松地注入js代码或重定向代码。。。或者在某些情况下甚至是服务器端代码。

这可能会导致会话劫持、用户帐户被盗以及其他错误选项。

编辑：

还有一件事你必须牢记在心esc_url() 是为了<a href="SANITIZE_THIS_URL">your_text</a>.如果要在HTML输出中使用URL，如a href属性表示链接，或src属性表示图像元素，则应使用esc_url().

esc_url_raw()对于其他情况，您需要一个干净的URL，但不希望对HTML实体进行编码。因此，任何非HTML用法（DB、重定向）都会使用此选项。

这个esc_url_raw() 函数的作用与esc_url(), 但它不会解码实体，这意味着它不会取代&；带（&A）#038等等。正如马克所指出的，使用它是安全的esc_url_raw() 在数据库查询中，重定向和HTTP函数，如“wp\\u remote\\u get（）”，了解有关esc_url_raw()

esc_url 用于生成有效的HTML（而不是清理输入）。如果您不能百分之百确定要输出的内容是该上下文的有效HTML，则应在任何时候使用此选项。