Jestem zdezorientowany co do różnych zastosowań esc_html()
i wp_kses()
. Rozumiem, że esc_html()
konwertuje znaki specjalne do ich encji HTML i wp_kses()
usuwa niechciane tagi (np. <script>
), Ale nie jestem pewien, w jakich kontekstach należy ich używać razem lub osobno.
Jeśli uruchomię trochę niezaufanego HTML esc_html()
, wtedy dowolny JavaScript będzie wyświetlany zwykłym tekstem, a nie renderowany przez przeglądarkę, więc jest to bezpieczne w tym momencie, prawda? Jedynym powodem, aby go uruchomić, wp_kses()
byłoby uniknięcie wyświetlania surowego skryptu?
Zasadniczo esc_html()
czyni go bezpiecznym i wp_kses()
ładnym. Czy to jest poprawne?
źródło