Pytania otagowane jako escaping

2
Jaka jest różnica między esc_html, esc_attr, esc_html_e i tak dalej?
Dostałem opinię od ochroniarza, który zwrócił uwagę, że powinienem użyć poprawnego ucieczki od danych wejściowych użytkownika w moim kodzie. Przeprowadziłem więc badania i znalazłem funkcje ucieczki. Jaka jest różnica między nimi? Kiedy powinienem używać esc_html()i kiedy esc_attr()? A kiedy powinienem używać tych funkcji _e()na końcu?
5
Najlepsza praktyka dla PHP
Kiedy robisz szablon taki jak single.php i masz php zawinięte w HTML, czy najlepiej: Start + Stop PHP? na przykład <h1 class="post-tilte"><?php the_title(); ?></h1> <p class="post-content"><?php the_content();?></p> Lub Echo HTML i Escape PHP? Na przykład - <?php echo '<h1 class="post-title">' . get_the_title() . '</h1> <p class="post-content"' . get_the_content() . '</p> …
11 php  wp-query  escaping 
2
Czy dane wyjściowe HTML powinny być przekazywane przez esc_html () ORAZ wp_kses ()?
Jestem zdezorientowany co do różnych zastosowań esc_html()i wp_kses(). Rozumiem, że esc_html()konwertuje znaki specjalne do ich encji HTML i wp_kses()usuwa niechciane tagi (np. <script>), Ale nie jestem pewien, w jakich kontekstach należy ich używać razem lub osobno. Jeśli uruchomię trochę niezaufanego HTML esc_html(), wtedy dowolny JavaScript będzie wyświetlany zwykłym tekstem, a …
1
Z punktu widzenia bezpieczeństwa należy uciec od bloginfo () lub get_bloginfo ()?
Przeglądałem wiele informacji na temat bezpieczeństwa motywu WP i wtyczek i rozumiem pojęcie, że należy unikać atrybutów i wartości HTML w motywach i wtyczkach. Widziałem bloginfo()i echo get_bloginfo()użyłem zarówno standardowej, jak i wewnątrz funkcji esc_html()lub esc_attr(). Geneza i _s , podstawowy motyw Automattic, zarówno uciekają od tych wartości, ale własny …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.