8 我读过专业WordPress,它说: esc_html函数用于清理包含HTML的数据。此功能将特殊字符编码到其HTML实体中 esc_attr 函数用于转义HTML属性 esc_url。此功能应用于清除非法字符的URL。即使href从技术上来说是HTML属性 这些有什么区别? 如果我有 <script>alert('hello world!');</script>this is some content 都< >将转换为< >吗?网址会是这样%xxx吗? security escaping sanitization — 孟洁 source
8 esc_html和esc_attr是近乎相同,唯一的区别是,输出会通过命名不同滤波器(传递esc_html和attribute_escape分别地)。 esc_url更复杂,更具体,它处理的字符不能出现在URL和允许的协议中(其列表可以作为第二个参数传递)。http://如果不存在协议(并且链接不是相对的),它也会在协议之前添加输入。 — 腊斯特 source