Questions tagged «escaping»


2
esc_html,esc_attr,esc_html_e等之间有什么区别?
我收到了安全人员的反馈,他指出我应该在代码中使用适当的用户输入转义功能。所以我做了一些研究,发现了转义功能。 它们之间有什么区别?什么时候应该使用esc_html()以及何时esc_attr()?最后我应该何时使用这些功能_e()?

5
PHP最佳实践
在做诸如single.php之类的模板并且将php包裹在html中时,最好这样做: 启动+停止PHP?例如 <h1 class="post-tilte"><?php the_title(); ?></h1> <p class="post-content"><?php the_content();?></p> 要么 回声HTML和Escape PHP?例如 - <?php echo '<h1 class="post-title">' . get_the_title() . '</h1> <p class="post-content"' . get_the_content() . '</p> 我没有一个自由释放的选择,发现自己都做,只是好奇地听到一些想法
11 php  wp-query  escaping 

2
HTML输出是否应该通过esc_html()和wp_kses()传递?
我对esc_html()和的不同用法感到困惑wp_kses()。我知道可以esc_html()将特殊字符转换为它们的HTML实体,并且可以wp_kses()删除不需要的标签(例如<script>),但是我不确定应在什么情况下将它们一起或单独使用。 如果我通过运行某些不受信任的HTML esc_html(),那么任何JavaScript都将以纯文本显示,而不是由浏览器呈现,因此在那时是安全的,对吗?还要运行它的唯一原因wp_kses()是避免显示原始脚本? 基本上,esc_html()使其安全且wp_kses()美观。那是对的吗?

1
从安全角度来看,应该转义bloginfo()或get_bloginfo()吗?
我一直在审查有关WP主题和插件安全性的许多信息,并了解应该在主题和插件中转义属性和HTML值的概念。我已经看过bloginfo()并echo get_bloginfo()在esc_html()or esc_attr()函数中使用了标准和内部代码。 创世纪(Genesis)和 _s(Automattic的基本主题)都逃避了这些值,但是WP自己的法典主题标准指南并未说明如何转义这些值。我已经研究了WP代码(wp-includes/option.php),似乎对传入的值进行了一些清理,get_option()但也似乎有一个过滤器,插件可以覆盖某些值。 正是这一事实使我想到应该逃脱它。有人可以启发我吗?

1
esc_url()和esc_url_raw()之间的区别
http://core.trac.wordpress.org/browser/trunk/wp-includes/formatting.php#L2239 我对何时应该使用它们之一感到困惑。 假设我有此URL http://site.com/?getsomejavascript=1:,它是动态生成的javascript: 如果我将脚本包含在中,则会esc_url(add_query_arg('apples', 420))得到http://site.com/?getsomejavascript=1&apples=420,并且由于这些#038;引用而中断 如果我使用esc_url_raw(add_query_arg('apples', 420))我得到正确的URL:http://site.com/?getsomejavascript=1&apples=420 但是在文档中我发现esc_url_raw仅应用于转义插入数据库中的URL ...
9 urls  escaping 

3
在选项值中保存HTML代码时如何防止转义?
我有一个“主题选项”页面,用户可以在其中添加某些选项,例如Facebook链接等。选项之一是用于某些广告代码,将其保存为选项时,它会一遍又一遍地转义。 什么是保存插在管理页面代码的最佳方法<textarea>使用update_option( 'sidebar_code', $_POST['sidebar_code'] );?

1
esc_html过滤器和attribute_escape过滤器有什么区别?
esc_html和attribute_escape过滤器的确切区别是什么? esc_html()使用esc_html filter和esc_attr()使用attribute_escape filter。两者都编码<>&“'(小于,大于,与号,双引号,单引号)。 我很想知道是什么使它们在安全性(转义)方面与众不同。

1
esc_ *函数之间有什么区别?
我读过专业WordPress,它说: esc_html函数用于清理包含HTML的数据。此功能将特殊字符编码到其HTML实体中 esc_attr 函数用于转义HTML属性 esc_url。此功能应用于清除非法字符的URL。即使href从技术上来说是HTML属性 这些有什么区别? 如果我有 <script>alert('hello world!');</script>this is some content 都< >将转换为< >吗?网址会是这样%xxx吗?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.