Ich bin verwirrt über die verschiedenen Verwendungen von esc_html()
und wp_kses()
. Ich verstehe, dass esc_html()
Sonderzeichen in ihre HTML-Entität konvertiert werden und wp_kses()
unerwünschte Tags (z. B. <script>
) entfernt werden, bin mir jedoch nicht sicher, in welchen Kontexten sie zusammen oder getrennt verwendet werden sollen.
Wenn ich nicht vertrauenswürdiges HTML durchführe esc_html()
, wird JavaScript im Klartext angezeigt und nicht vom Browser gerendert. An diesem Punkt ist es also sicher, richtig? Der einzige Grund, es auch durchzulaufen, wp_kses()
wäre zu vermeiden, dass das Rohskript angezeigt wird?
Grundsätzlich esc_html()
macht es sicher und wp_kses()
macht es hübsch. Ist das korrekt?