WordPress escaping

3

Dois-je échapper aux fonctions wordpress comme the_title, the_excerpt, the_content

J'avais regardé le code mais je ne pouvais pas voir d'échapper à des fonctions comme the_title the_content the_excerptetc. Je ne le lisais peut-être pas correctement. Dois-je échapper à ces fonctions dans le développement de thème comme: esc_html ( the_title () ) Modifier: comme indiqué dans les réponses ci-dessous, le code …

15 security escaping

2

Quelle est la différence entre esc_html, esc_attr, esc_html_e, etc.?

J'ai reçu des commentaires du responsable de la sécurité et il a souligné que je devais utiliser l'échappement approprié des entrées utilisateur dans mon code. J'ai donc fait quelques recherches et trouvé des fonctions d'échappement. Quelle est la différence entre eux? Quand dois-je utiliser esc_html()et quand esc_attr()? Et quand dois-je …

12 functions escaping

5

Meilleures pratiques pour PHP

Lorsque vous faites un modèle tel que single.php et que vous avez php enveloppé en html, est-il préférable de: Démarrer + arrêter PHP? par exemple <h1 class="post-tilte"><?php the_title(); ?></h1> <p class="post-content"><?php the_content();?></p> Ou Echo HTML et PHP d'échappement? Par exemple - <?php echo '<h1 class="post-title">' . get_the_title() . '</h1> <p …

11 php wp-query escaping

2

La sortie HTML doit-elle être transmise via esc_html () ET wp_kses ()?

Je suis confus quant aux différentes utilisations de esc_html()et wp_kses(). Je comprends que esc_html()convertit les caractères spéciaux en leur entité HTML, et cela wp_kses()supprime les balises indésirables (par exemple, &lt;script&gt;), mais je ne sais pas dans quels contextes ils doivent être utilisés ensemble ou séparément. Si j'exécute du HTML non …

11 escaping sanitization

1

Du point de vue de la sécurité, faut-il échapper bloginfo () ou get_bloginfo ()?

J'ai passé en revue de nombreuses informations sur le thème WP et la sécurité des plugins et je comprends le concept selon lequel vous devez échapper les attributs et les valeurs HTML dans les thèmes et les plugins. J'ai vu bloginfo()et echo get_bloginfo()utilisé à la fois la norme et l'intérieur …

10 security options escaping bloginfo

1

Différence entre esc_url () et esc_url_raw ()

http://core.trac.wordpress.org/browser/trunk/wp-includes/formatting.php#L2239 Je ne sais pas quand utiliser l'un ou l'autre. En supposant que j'ai cette URL:, http://site.com/?getsomejavascript=1qui est généré dynamiquement javascript: si j'inclus le script avec esc_url(add_query_arg('apples', 420)), j'obtiens http://site.com/?getsomejavascript=1&#038;apples=420et ça casse à cause de ces #038;références si j'utilise esc_url_raw(add_query_arg('apples', 420))j'obtiens l'URL correcte:http://site.com/?getsomejavascript=1&apples=420 mais dans la documentation, je découvre que …

9 urls escaping

3

Comment éviter de s'échapper lors de l'enregistrement du code HTML dans une valeur d'option?

J'ai une page Options de thème où l'utilisateur peut ajouter certaines options comme les liens Facebook, etc. L'une des options est pour un code d'annonce et lors de l'enregistrement en tant qu'option, il s'échappe encore et encore. Quelle est la meilleure approche pour enregistrer le code inséré dans une page …

9 escaping theme-options

1

Quelle est la différence entre le filtre esc_html et le filtre attribute_escape?

Quelle est la différence exacte entre esc_htmlet attribute_escapefiltrer? esc_html()utilise esc_html filteret esc_attr()utilise attribute_escape filter. Les deux codent <> & "'(inférieur à, supérieur à, esperluette, guillemet double, guillemet simple). Je suis curieux de savoir ce qui les rend exactement différents en termes de sécurité (fuite).

8 security escaping

1

Quelle est la différence entre les fonctions esc_ *?

J'ai lu WordPress professionnel et il dit: esc_htmlest utilisée pour nettoyer les données contenant du HTML. Cette fonction encode les caractères spéciaux dans leurs entités HTML esc_attr la fonction est utilisée pour échapper les attributs HTML esc_url. Cette fonction doit être utilisée pour nettoyer l'URL des caractères illégaux. Même si …

8 security escaping sanitization

Questions marquées «escaping»