真的需要转义可翻译字符串吗?
对如果字符串是可翻译的,那么这意味着可以从外部源更改其值。这意味着它不安全。
我该怎么做呢?
看见the documentation 关于如何使用WordPress逃逸。
对于可翻译字符串,有两个主要功能可供使用:esc_html__(), esc_attr__(), esc_html_e(), 和esc_attr_e(). 这些函数本质上是esc_html() 和esc_attr() 结合__() 或_e() 翻译功能。
你需要注意的是逃跑应该尽可能晚。理想情况下,输出之前发生的最后一件事。在屏幕截图中,您似乎只是在定义字符串,以供以后使用。那样的话你就不用esc_html__() 在这一点上。相反,你只需要__() 然后使用esc_html() 无论何时实际输出字符串。
以下是一些关于该主题的好资源:
