Preciso escapar dados passados para wp_localize_script ()?

4

Título praticamente diz tudo. Dei uma olhada na fonte e não vi nenhum escape sendo feito. Mas eu não posso dizer com certeza.

wp_localize_script( 'script-hook', 'object_name', array(
    'param_1'   => $value_1, // This?
    'param_2'   => esc_js( $value_2 ) // Or, this?
) );
    
por Dominic P 24.02.2016 / 21:48

1 resposta

4

Até onde eu sei, wp_localize_script não escapa dos dados mais do que o necessário para produzir um JSON válido, e tudo é enviado como uma string. A função foi originalmente projetada para permitir a tradução das strings usadas no seu JS para outras linguagens (daí a parte "localize" do nome da função). Então, se os dados que você está passando vierem de uma entrada do usuário ou forem gerados pelo usuário, você definitivamente desejará escapar dela.

    
por Wes Moberly 24.02.2016 / 22:57