Questions tagged «escaping»

我看过代码，但看不到任何类似功能的转义字符the_title the_content the_excerpt。我可能没有正确阅读。我是否需要在主题开发中转义这些功能，例如： esc_html ( the_title () ) 编辑：上面的代码下面的答案中指出，无论如何都是错误的-该代码应已阅读 esc_html ( get_the_title () )

15 security  escaping 

我收到了安全人员的反馈，他指出我应该在代码中使用适当的用户输入转义功能。所以我做了一些研究，发现了转义功能。 它们之间有什么区别？什么时候应该使用esc_html()以及何时esc_attr()？最后我应该何时使用这些功能_e()？

13 functions  escaping 

在做诸如single.php之类的模板并且将php包裹在html中时，最好这样做： 启动+停止PHP？例如 <h1 class="post-tilte"><?php the_title(); ?></h1> <p class="post-content"><?php the_content();?></p> 要么 回声HTML和Escape PHP？例如 - <?php echo '<h1 class="post-title">' . get_the_title() . '</h1> <p class="post-content"' . get_the_content() . '</p> 我没有一个自由释放的选择，发现自己都做，只是好奇地听到一些想法

11 php  wp-query  escaping 

我对esc_html()和的不同用法感到困惑wp_kses()。我知道可以esc_html()将特殊字符转换为它们的HTML实体，并且可以wp_kses()删除不需要的标签（例如<script>），但是我不确定应在什么情况下将它们一起或单独使用。 如果我通过运行某些不受信任的HTML esc_html()，那么任何JavaScript都将以纯文本显示，而不是由浏览器呈现，因此在那时是安全的，对吗？还要运行它的唯一原因wp_kses()是避免显示原始脚本？ 基本上，esc_html()使其安全且wp_kses()美观。那是对的吗？

11 escaping  sanitization 

我一直在审查有关WP主题和插件安全性的许多信息，并了解应该在主题和插件中转义属性和HTML值的概念。我已经看过bloginfo()并echo get_bloginfo()在esc_html()or esc_attr()函数中使用了标准和内部代码。 创世纪（Genesis）和 _s（Automattic的基本主题）都逃避了这些值，但是WP自己的法典主题标准指南并未说明如何转义这些值。我已经研究了WP代码（wp-includes/option.php），似乎对传入的值进行了一些清理，get_option()但也似乎有一个过滤器，插件可以覆盖某些值。 正是这一事实使我想到应该逃脱它。有人可以启发我吗？

10 security  options  escaping  bloginfo 

http://core.trac.wordpress.org/browser/trunk/wp-includes/formatting.php#L2239 我对何时应该使用它们之一感到困惑。 假设我有此URL http://site.com/?getsomejavascript=1：，它是动态生成的javascript： 如果我将脚本包含在中，则会esc_url(add_query_arg('apples', 420))得到http://site.com/?getsomejavascript=1&apples=420，并且由于这些#038;引用而中断 如果我使用esc_url_raw(add_query_arg('apples', 420))我得到正确的URL：http://site.com/?getsomejavascript=1&apples=420 但是在文档中我发现esc_url_raw仅应用于转义插入数据库中的URL ...

9 urls  escaping 

我有一个“主题选项”页面，用户可以在其中添加某些选项，例如Facebook链接等。选项之一是用于某些广告代码，将其保存为选项时，它会一遍又一遍地转义。 什么是保存插在管理页面代码的最佳方法<textarea>使用update_option( 'sidebar_code', $_POST['sidebar_code'] );？

9 escaping  theme-options 

esc_html和attribute_escape过滤器的确切区别是什么？ esc_html()使用esc_html filter和esc_attr()使用attribute_escape filter。两者都编码<>＆“'（小于，大于，与号，双引号，单引号）。 我很想知道是什么使它们在安全性（转义）方面与众不同。

8 security  escaping 

我读过专业WordPress，它说： esc_html函数用于清理包含HTML的数据。此功能将特殊字符编码到其HTML实体中 esc_attr 函数用于转义HTML属性 esc_url。此功能应用于清除非法字符的URL。即使href从技术上来说是HTML属性 这些有什么区别？ 如果我有 <script>alert('hello world!');</script>this is some content 都< >将转换为< >吗？网址会是这样%xxx吗？

8 security  escaping  sanitization