esc_html()HTML olarak ayrıştırılmaması için bir dizeden kaçar. Örneğin, gibi karakterler <dönüştürülür <. Bu, okuyucuya aynı görünecektir, ancak bu, çıktı alınan değer <script>tarayıcı tarafından gerçek bir komut dosyası etiketi olarak yorumlanmayacağı anlamına gelir .
Çıktılanan değer HTML içermediğinde bu işlevi kullanın.
esc_attr()class=""örneğin bir HTML özelliğinde güvenle kullanılması için bir dizeden kaçar . Bu, bir değerin HTML özelliğinden ayrılmasını önler. Örneğin, değer "><script>alert();</script>bir HTML özelliğinde çıktısını almaya çalıştıysanız, geçerli HTML etiketini kapatır ve bir komut dosyası etiketi açar. Bu güvensiz. Değerden kaçarak HTML niteliğini kapatamaz ve güvenli olmayan HTML'yi etiketleyip çıktısı alamaz.
Bir HTML özelliğinin içinde bir değer çıkarırken bu işlevi kullanın.
esc_url() geçerli bir URL olduğundan emin olmak için bir dizeden kaçar.
Bir href=""veya src=""özniteliğin içindeki bir değeri verirken bu işlevi kullanın .
esc_textarea()bir <textarea>öğede kullanılmasının güvenli olması için bir değerden kaçar . Bu işlevle bir değerden kaçmak, a içindeki bir değerin öğeyi <textarea<kapatmasını <textarea>ve kendi HTML'sini vermesini engeller .
Bir <textarea>öğenin içindeki bir değeri verirken bu işlevi kullanın .
esc_html()ve esc_attr()ayrıca biten sürümleri var __(), _e()ve _x(). Bunlar çevrilebilir dizelerin çıktısı içindir.
WordPress, çevrilebilecek metin çıktısı için __(), _e()ve işlevlerine sahiptir _x(). çevrilebilir bir dize __() döndürür , çevrilebilir bir dize _e() yankılanır ve _x()belirli bir bağlamla çevrilebilir bir dize döndürür. Muhtemelen daha önce görmüşsünüzdür.
Bir çeviri dosyasının mutlaka güvenli değerler içerdiğinden emin olamayacağınız için, çevrilebilir bir dize verirken bu işlevleri kullanmak, çıktı alınan dizelerin yukarıda açıklanan aynı soruna neden olmamasını sağlar.
Çevrilebilir dizelerin çıktısını alırken bu işlevleri kullanın.