Czy powinienem uciec przed funkcjami Wordpress, takimi jak the_title, the_excerpt, the_content

Spojrzałem na kod, ale nie widziałem ucieczki na funkcjach takich jak the_title the_content the_excerptitp. Być może nie czytałem go poprawnie. Czy muszę uciec od tych funkcji w tworzeniu motywu, takich jak:

esc_html ( the_title () )

Edycja: jak wskazano w odpowiedziach poniżej, powyższy kod jest niepoprawny niezależnie od tego - kod powinien zostać przeczytany esc_html ( get_the_title () )

Ucieczka zależy całkowicie od kontekstu, w którym używasz funkcji. To, co jest bezpieczne dla wyświetlania wewnątrz <h1>znaczników, niekoniecznie jest bezpieczne dla valueatrybutu pola wejściowego, a nawet to niekoniecznie byłoby bezpieczne jako hrefwartość atrybutu ...

W skrócie - przeprowadź sanityzację samemu, kiedy ją wyprowadzasz. Choć w przypadku the_title ()lub get_the_title (), esc_htmlnie jest konieczne, ponieważ WordPress stosuje następujące funkcje:

• convert_chars
• wptexturize

Uwaga: the_title drukuje tytuł - więc esc_html ( the_title () )nie będzie działać. Podobnie the_contentdrukuje zawartość (w każdym razie można oczekiwać, że treść wyświetli HTML).

Tak i nie - zależy od tego, czy chcesz, aby html tych funkcji był wyprowadzany, czy nie. Jeśli the_content()na przykład uciekniesz , a zawiera on <div>tag, tag ten byłby faktycznie wyprowadzany na stronę w <div>zamian.

Nawiasem mówiąc, jeśli wyjdziesz z wyjścia tych funkcji, będziesz chciał użyć ich ekwiwalentów „get_” (np. get_the_content()), Ponieważ te funkcje bezpośrednio odbijają swoje wyjście.

Możesz po prostu napisać taką funkcję i podłączyć ją do filtra_title :

function my_escape_title( $title ){
    return esc_html( $title );
}
add_filter( 'the_title', 'my_escape_title' );