Вопросы с тегом «escaping»

Я посмотрел на код, но я не мог увидеть какие-либо экранирующие функции, например, the_title the_content the_excerptи т. Д. Я, возможно, не правильно его читал. Нужно ли мне избежать этих функций в разработке темы, как: esc_html ( the_title () ) Изменить: как указано в ответах ниже, приведенный выше код неверен независимо …

15 security  escaping 

Я получил ответ от охранника, и он указал, что я должен использовать правильное экранирование пользовательского ввода в моем коде. Итак, я провел некоторое исследование и нашел экранирующие функции. Какая разница между ними? Когда я должен использовать esc_html()и когда esc_attr()? И когда я должен использовать эти функции _e()в конце?

13 functions  escaping 

Когда вы делаете шаблон, такой как single.php, и у вас есть php, завернутый в html, лучше всего: Старт + Стоп PHP? например <h1 class="post-tilte"><?php the_title(); ?></h1> <p class="post-content"><?php the_content();?></p> Или же Эхо HTML и Escape PHP? Например - <?php echo '<h1 class="post-title">' . get_the_title() . '</h1> <p class="post-content"' . get_the_content() …

11 php  wp-query  escaping 

Я запутался в различном использовании esc_html()и wp_kses(). Я понимаю, что esc_html()преобразует специальные символы в их сущность HTML и wp_kses()удаляет нежелательные теги (например, <script>), но я не уверен, в каких контекстах их следует использовать вместе или по отдельности. Если я пропущу ненадежный HTML-код esc_html(), то любой JavaScript-код будет отображаться в виде …

11 escaping  sanitization 

Я просмотрел много информации о безопасности тем и плагинов WP и понял, что вы должны избегать атрибутов и значений HTML в темах и плагинах. Я видел bloginfo()и echo get_bloginfo()использовал как стандартные, так и внутри esc_html()или esc_attr()функции. Genesis и _s , базовая тема Automattic оба избегают этих значений, но собственное руководство …

10 security  options  escaping  bloginfo 

http://core.trac.wordpress.org/browser/trunk/wp-includes/formatting.php#L2239 Я не понимаю, когда следует использовать любой из них. Предполагая, что у меня есть этот URL:, http://site.com/?getsomejavascript=1который является динамически генерируемым JavaScript: если я включаю сценарий с esc_url(add_query_arg('apples', 420)), я получаю, http://site.com/?getsomejavascript=1&apples=420и он ломается из-за этих #038;ссылок если я использую, esc_url_raw(add_query_arg('apples', 420))я получаю правильный URL:http://site.com/?getsomejavascript=1&apples=420 но в документации я узнаю, …

9 urls  escaping 

У меня есть страница «Параметры темы», на которой пользователь может добавлять определенные параметры, например ссылки в Facebook и т. Д. Один из вариантов - для некоторого рекламного кода, и при его сохранении в качестве опции он снова и снова экранируется. Каков наилучший подход для сохранения кода, вставленного на страницу администратора, …

9 escaping  theme-options 

В чем разница между фильтром esc_htmlи attribute_escapeфильтром? esc_html()использует esc_html filterи esc_attr()использует attribute_escape filter. Оба кодируют <> & "'(меньше, больше, амперсанд, двойная кавычка, одинарная кавычка). Мне интересно знать, что именно отличает их с точки зрения безопасности (побега).

8 security  escaping 

Я прочитал Профессиональный WordPress, и он говорит: esc_htmlФункция используется для очистки данных, содержащих HTML. Эта функция кодирует специальные символы в свои объекты HTML esc_attr функция используется для экранирования атрибутов HTML esc_url, Эта функция должна использоваться для очистки URL-адреса для недопустимых символов. Хотя технически href является атрибутом HTML Какая разница между …

8 security  escaping  sanitization