Ben kod bakmak vardı ama the_title the_content the_excerptvb gibi işlevlerde herhangi bir kaçan göremiyordum . Ben doğru okuma olmayabilir. Tema geliştirme bu işlevleri gibi kaçmak gerekir:
esc_html ( the_title () )
Düzenleme: Yukarıdaki kodun cevaplarında belirtildiği gibi, ne olursa olsun yanlış - kod okumuş olmalı
esc_html ( get_the_title () )
Yanıtlar:
Kaçış, tamamen işlevleri kullandığınız bağlama bağlıdır. İç <h1>etiketlerin görüntülenmesi için güvenli olan value, bir giriş alanının niteliği için görüntülenmesi güvenli değildir ve hatta bir hrefözellik değeri olarak güvenli olması gerekmez ....
Kısacası - sanitasyonu çıkardığınızda kendiniz yapın. Gerçi durumunda the_title ()ya get_the_title (), esc_htmlWordPress aşağıdaki fonksiyonları uygular, çünkü gerekli değildir:
Not: the_title başlığı yazdırır - bu yüzden esc_html ( the_title () )çalışmaz. Benzer şekilde, the_contentiçeriği yazdırır (her durumda, içeriğin HTML göstermesini beklersiniz).
the_title_attribute()
Evet ve hayır - bu işlevlerdeki html'nin çıktısının alınıp alınmamasına bağlıdır. the_content()Örneğin, kaçarsanız ve bir <div>etiket içeriyorsa , bu etiket aslında sayfaya <div>yazdırılır.
Bu arada, bu işlevlerin çıktısından kaçarsanız get_the_content(), bu işlevler doğrudan çıktılarını yansıtan "get_" eşdeğerlerini (örn. ) Kullanmak isteyeceksiniz .
Bunun gibi bir işlev yazabilir ve the_title filtresine bağlayabilirsiniz :
function my_escape_title( $title ){
return esc_html( $title );
}
add_filter( 'the_title', 'my_escape_title' );
the_contentGirdiğiniz TinyMCE düzenleyicisinden HTML çıktısı hariç . Bu daha çok, örneğin kullanıcılarınız tarafından kullanıcı arabirimi tarafından oluşturulan ön girişler veya veriler için ayrılmıştır.