Eu tinha olhado para o código, mas não consegui ver nenhum escape de funções como the_title the_content the_excerptetc. Talvez eu não esteja lendo direito. Preciso escapar dessas funções no desenvolvimento de temas como: esc_html ( the_title () ) Editar: conforme indicado nas respostas abaixo, o...
Eu recebi feedback do cara da segurança e ele apontou que eu deveria usar o escape adequado da entrada do usuário no meu código. Então, eu fiz algumas pesquisas e encontrei funções de escape. Qual a diferença entre eles? Quando devo usar esc_html()e quando esc_attr()? E quando devo usar essas...
Estou confuso sobre os diferentes usos de esc_html()e wp_kses(). Entendo que esc_html()converte caracteres especiais em sua entidade HTML e que wp_kses()remova tags indesejadas (por exemplo, <script>), mas não tenho certeza em quais contextos eles devem ser usados juntos ou...
Ao criar um modelo como single.php e você tiver o php envolto em html, é melhor: Iniciar + Parar PHP? por exemplo <h1 class="post-tilte"><?php the_title(); ?></h1> <p class="post-content"><?php the_content();?></p> Ou Eco HTML e Escape PHP? Por exemplo -...
Estive revisando muitas informações sobre a segurança de plug-ins e temas WP e entendi o conceito de que você deve escapar de atributos e valores HTML em temas e plug-ins. Eu já vi bloginfo()e echo get_bloginfo()usei padrão e dentro de uma função esc_html()ou esc_attr(). Gênesis e _s , o tema base...
Eu tenho uma página Opções de tema, na qual o usuário pode adicionar determinadas opções, como links do Facebook, etc. Uma das opções é para algum código de anúncio e, ao salvá-lo como opção, ele é escapado repetidamente. Qual é a melhor abordagem para salvar código inserido em uma página de...
http://core.trac.wordpress.org/browser/trunk/wp-includes/formatting.php#L2239 Estou confuso sobre quando um deles deve ser usado. Supondo que eu tenho este URL:, http://site.com/?getsomejavascript=1que é gerado dinamicamente javascript: se eu incluir o script esc_url(add_query_arg('apples',...
Eu li o WordPress profissional e ele diz: esc_htmlA função é usada para limpar dados que contêm HTML. Esta função codifica caracteres especiais em suas entidades HTML esc_attr A função é usada para escape de atributos HTML esc_url. Esta função deve ser usada para limpar a URL quanto a...
Qual é a diferença exata entre esc_htmle attribute_escapefilter? esc_html()usos esc_html filtere esc_attr()usos attribute_escape filter. Ambos codificam <> & "'(menor que, maior que, comercial, aspas duplas, aspas simples). Estou interessado em saber o que exatamente os torna diferentes...