คำถามติดแท็ก escaping

3
ฉันควรหลีกเลี่ยงฟังก์ชั่น WordPress เช่น the_title, the_excerpt, the_content
ฉันดูรหัสแล้ว แต่ฉันไม่เห็นว่าจะมีการหลบหนีจาก funcions เช่นthe_title the_content the_excerptฯลฯ ฉันอาจไม่ได้อ่านอย่างถูกต้อง ฉันต้องหลบหนีฟังก์ชั่นเหล่านี้ในการพัฒนาธีมเช่น: esc_html ( the_title () ) แก้ไข: ตามที่ระบุไว้ในคำตอบด้านล่างรหัสข้างต้นเป็นสิ่งที่ผิดโดยไม่คำนึงถึง - รหัสควรอ่าน esc_html ( get_the_title () )
2
ความแตกต่างระหว่าง esc_html, esc_attr, esc_html_e และอื่น ๆ คืออะไร?
ฉันได้รับคำติชมจากคนที่รักษาความปลอดภัยและเขาชี้ให้เห็นว่าฉันควรใช้การหลีกเลี่ยงการป้อนข้อมูลผู้ใช้ที่เหมาะสมในรหัสของฉัน ดังนั้นฉันทำวิจัยและพบฟังก์ชั่นการหลบหนี ความแตกต่างระหว่างพวกเขาคืออะไร ฉันควรใช้esc_html()เมื่อใดและเมื่อesc_attr()ใด และเมื่อใดฉันจึงควรใช้ฟังก์ชั่นเหล่านี้ด้วย_e()ในตอนท้าย
5
แนวทางปฏิบัติที่ดีที่สุดสำหรับ PHP
เมื่อทำเทมเพลตเช่น single.php และคุณมี php อยู่ใน html สิ่งที่ดีที่สุดคือ: เริ่ม + หยุด PHP หรือไม่ ตัวอย่างเช่น <h1 class="post-tilte"><?php the_title(); ?></h1> <p class="post-content"><?php the_content();?></p> หรือ สะท้อน HTML และ Escape PHP หรือไม่ ตัวอย่างเช่น - <?php echo '<h1 class="post-title">' . get_the_title() . '</h1> <p class="post-content"' . get_the_content() . '</p> ฉันไม่มีตัวเลือกล่วงหน้าและพบว่าตัวเองกำลังทำทั้งสองอยากรู้อยากเห็นความคิดบางอย่าง
11 php  wp-query  escaping 
2
เอาต์พุต HTML ควรส่งผ่าน esc_html () และ wp_kses () หรือไม่
ฉันสับสนเกี่ยวกับการใช้ที่แตกต่างกันและesc_html() wp_kses()ฉันเข้าใจว่าesc_html()แปลงอักขระพิเศษเป็นเอนทิตี HTML ของพวกเขาและwp_kses()ลบแท็กที่ไม่พึงประสงค์ (เช่น<script>) แต่ฉันไม่แน่ใจในบริบทที่ควรใช้ร่วมกันหรือแยกกัน หากฉันใช้ HTML ที่ไม่น่าเชื่อถือผ่านesc_html()JavaScript จะแสดงเป็นข้อความธรรมดาแทนที่จะแสดงผลโดยเบราว์เซอร์ดังนั้นจึงปลอดภัยที่จุดนั้นถูกต้องหรือไม่ เหตุผลเดียวที่จะใช้งานได้wp_kses()ก็คือเพื่อหลีกเลี่ยงการแสดงสคริปต์ดิบ? โดยทั่วไปesc_html()ทำให้ปลอดภัยและwp_kses()ทำให้สวย ถูกต้องหรือไม่
1
จากมุมมองด้านความปลอดภัยควรหลีกเลี่ยง bloginfo () หรือ get_bloginfo () หรือไม่
ฉันได้รับการตรวจสอบข้อมูลจำนวนมากเกี่ยวกับการรักษาความปลอดภัย WP ธีมและปลั๊กอินและเข้าใจแนวคิดที่คุณควรหลีกเลี่ยงคุณลักษณะและค่า HTML ในชุดรูปแบบและปลั๊กอิน ฉันเคยเห็นbloginfo()และecho get_bloginfo()ใช้ทั้งมาตรฐานและภายในesc_html()หรือesc_attr()ฟังก์ชั่น Genesisและ _sชุดรูปแบบพื้นฐานของ Automattic หนีทั้งค่าเหล่านี้ แต่คู่มือมาตรฐานชุดรูปแบบ codex ของ WP ไม่ได้พูดอะไรเกี่ยวกับการหลีกเลี่ยงค่าเหล่านี้ ฉันดูในรหัส WP (wp-includes/option.php) และดูเหมือนว่ามีการฆ่าเชื้อของค่าเล็กน้อยจากget_option()แต่ดูเหมือนว่ามีตัวกรองที่ปลั๊กอินสามารถเขียนทับสำหรับค่าบางอย่าง ความจริงข้อนี้ทำให้ฉันคิดว่าควรจะหนีไป ใครช่วยสอนฉันเกี่ยวกับเรื่องนี้?
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.