Estou confuso sobre os diferentes usos de esc_html()
e wp_kses()
. Entendo que esc_html()
converte caracteres especiais em sua entidade HTML e que wp_kses()
remova tags indesejadas (por exemplo, <script>
), mas não tenho certeza em quais contextos eles devem ser usados juntos ou separadamente.
Se eu executar algum HTML não confiável esc_html()
, qualquer JavaScript será exibido em texto sem formatação, em vez de ser renderizado pelo navegador; portanto, é seguro nesse ponto, correto? O único motivo para executá-lo wp_kses()
seria evitar exibir o script bruto?
Basicamente, esc_html()
torna seguro e wp_kses()
bonito. Isso está correto?
fonte