Perguntas com a marcação «escaping»

Eu tinha olhado para o código, mas não consegui ver nenhum escape de funções como the_title the_content the_excerptetc. Talvez eu não esteja lendo direito. Preciso escapar dessas funções no desenvolvimento de temas como: esc_html ( the_title () ) Editar: conforme indicado nas respostas abaixo, o código acima está errado, independentemente …

15 security  escaping 

Eu recebi feedback do cara da segurança e ele apontou que eu deveria usar o escape adequado da entrada do usuário no meu código. Então, eu fiz algumas pesquisas e encontrei funções de escape. Qual a diferença entre eles? Quando devo usar esc_html()e quando esc_attr()? E quando devo usar essas …

12 functions  escaping 

Ao criar um modelo como single.php e você tiver o php envolto em html, é melhor: Iniciar + Parar PHP? por exemplo <h1 class="post-tilte"><?php the_title(); ?></h1> <p class="post-content"><?php the_content();?></p> Ou Eco HTML e Escape PHP? Por exemplo - <?php echo '<h1 class="post-title">' . get_the_title() . '</h1> <p class="post-content"' . get_the_content() …

11 php  wp-query  escaping 

Estou confuso sobre os diferentes usos de esc_html()e wp_kses(). Entendo que esc_html()converte caracteres especiais em sua entidade HTML e que wp_kses()remova tags indesejadas (por exemplo, <script>), mas não tenho certeza em quais contextos eles devem ser usados ​​juntos ou separadamente. Se eu executar algum HTML não confiável esc_html(), qualquer JavaScript …

11 escaping  sanitization 

Estive revisando muitas informações sobre a segurança de plug-ins e temas WP e entendi o conceito de que você deve escapar de atributos e valores HTML em temas e plug-ins. Eu já vi bloginfo()e echo get_bloginfo()usei padrão e dentro de uma função esc_html()ou esc_attr(). Gênesis e _s , o tema …

10 security  options  escaping  bloginfo 

http://core.trac.wordpress.org/browser/trunk/wp-includes/formatting.php#L2239 Estou confuso sobre quando um deles deve ser usado. Supondo que eu tenho este URL:, http://site.com/?getsomejavascript=1que é gerado dinamicamente javascript: se eu incluir o script esc_url(add_query_arg('apples', 420)), eu recebo http://site.com/?getsomejavascript=1&apples=420e ele quebra por causa dessas #038;referências se eu usar esc_url_raw(add_query_arg('apples', 420)), recebo o URL correto:http://site.com/?getsomejavascript=1&apples=420 mas na documentação descubro …

9 urls  escaping 

Eu tenho uma página Opções de tema, na qual o usuário pode adicionar determinadas opções, como links do Facebook, etc. Uma das opções é para algum código de anúncio e, ao salvá-lo como opção, ele é escapado repetidamente. Qual é a melhor abordagem para salvar código inserido em uma página …

9 escaping  theme-options 

Qual é a diferença exata entre esc_htmle attribute_escapefilter? esc_html()usos esc_html filtere esc_attr()usos attribute_escape filter. Ambos codificam <> & "'(menor que, maior que, comercial, aspas duplas, aspas simples). Estou interessado em saber o que exatamente os torna diferentes em termos de segurança (escapando).

8 security  escaping 

Eu li o WordPress profissional e ele diz: esc_htmlA função é usada para limpar dados que contêm HTML. Esta função codifica caracteres especiais em suas entidades HTML esc_attr A função é usada para escape de atributos HTML esc_url. Esta função deve ser usada para limpar a URL quanto a caracteres …

8 security  escaping  sanitization