Eu tinha olhado para o código, mas não consegui ver nenhum escape de funções como the_title the_content the_excerptetc. Talvez eu não esteja lendo direito. Preciso escapar dessas funções no desenvolvimento de temas como:
esc_html ( the_title () )
Editar: conforme indicado nas respostas abaixo, o código acima está errado, independentemente - o código deve ter lido
esc_html ( get_the_title () )
Respostas:
Escapar depende inteiramente do contexto em que você está usando as funções. O que é seguro para exibir <h1>tags internas , não é necessariamente seguro para exibir o valueatributo de um campo de entrada, e mesmo isso não seria necessariamente seguro como um hrefvalor de atributo ....
Em resumo - faça você mesmo a higienização enquanto a produz. Embora no caso de the_title ()ou get_the_title (), esc_htmlnão seja necessário, pois o WordPress aplica as seguintes funções:
Nota: the_title imprime o título - portanto esc_html ( the_title () ), não funciona. Da mesma forma, the_contentimprime o conteúdo (em qualquer caso, você esperaria que o conteúdo exibisse HTML).
the_title_attribute()
Sim e não - depende se você deseja que o html nessas funções seja gerado ou não. Se você escapar the_content(), por exemplo, e ele contiver uma <div>tag, essa tag será realmente enviada para a página <div>.
A propósito, se você escapar da saída dessas funções, deverá usar os equivalentes "get_" (ex. get_the_content()), Pois essas funções ecoam diretamente a saída.
Você pode simplesmente escrever uma função como esta e conectá-la ao filtro_título :
function my_escape_title( $title ){
return esc_html( $title );
}
add_filter( 'the_title', 'my_escape_title' );
the_contentque gera HTML do editor TinyMCE, no qual você insere. Isso é mais reservado para entradas de formulário ou dados criados no front end, por exemplo, por seus usuários.