É necessário usar o esc_url com tags de template como get_permalink?

2

Eu tenho lido que a saída de dados saneantes é importante no desenvolvimento de temas / plug-ins para o wordpress.

É necessário usar funções como esc_url com tags de template como get_permalink, ou a sanitização é cuidada pela tag template?

Obrigado

    
por junkrig 06.08.2014 / 05:22

2 respostas

3

saneantes não têm nada a ver com escapar, e escapar não é uma cura para tudo.

O papel do escape é converter uma string em um HTML apropriado. O que é uma representação HTML adequada de uma string pode depender do contexto e essa é a razão pela qual você tem várias funções de escape esc_html , esc_url e esc_attr .

Ao contrário do escape que tem que preservar o significado da limpeza de string, você pode remover / alterar partes dela. Por exemplo, um usuário em uma função de autor pode adicionar iframes na guia "teste" do editor, mas eles serão removidos do conteúdo quando forem salvos como parte do saneamento.

A higienização deve ser feita quando a fuga não for feita. Por exemplo, pense em um widget no qual você insere o código de incorporação de algum vídeo do youtube. Este código deve ficar como está no HTML gerado pelo site e escapar irá arruiná-lo, portanto você precisa desinfetar o conteúdo antes de exibi-lo para ter certeza de que ele realmente contém um código de incorporação válido do youtube e nada mais. / p>     

por Mark Kaplun 06.08.2014 / 11:39
6

temos as funções "get_permalink" e "the_permalink" no wordpress. Função "get_permalink" Retorna o permalink para um post ou página para uso em PHP, e a função "the_permalink" Exibe o URL para o permalink para o post que está sendo processado no The Loop! Se você olhar para o arquivo onde estas funções estão definidas, você pode ver que a função get_permalink não escapa, mas o permalink usa esc_url em seu corpo! referência: link-template.php

    
por M Ghanbari 06.08.2014 / 11:11

Tags