O escape depende inteiramente do contexto em que você está usando as funções. O que é seguro para exibir dentro de tags <h1>
, não é necessariamente seguro exibir para o atributo value
de um campo de entrada, e mesmo isso não seria necessariamente seguro como um valor de atributo href
....
Resumindo - faça você mesmo a higienização conforme a saída. Embora no caso de the_title ()
ou get_the_title ()
, esc_html
não seja necessário, uma vez que o WordPress aplica as seguintes funções:
Observação: the_title
imprime o título - por isso, esc_html ( the_title () )
não funcionará. Da mesma forma, the_content
imprime o conteúdo (em qualquer caso, você esperaria que o conteúdo exibisse HTML).