WordPress escaping

3

Soll ich WordPress-Funktionen wie the_title, the_excerpt, the_content entkommen

Ich habe mir den Code angesehen, aber ich konnte nicht feststellen, dass Funktionen wie the_title the_content the_excerptusw. fehlten . Ich habe ihn möglicherweise nicht richtig gelesen. Muss ich diesen Funktionen bei der Theme-Entwicklung entkommen, wie zum Beispiel: esc_html ( the_title () ) Bearbeiten: Wie in den Antworten unten ausgeführt, ist …

15 security escaping

2

Was ist der Unterschied zwischen esc_html, esc_attr, esc_html_e und so weiter?

Ich erhielt eine Rückmeldung vom Sicherheitsbeamten und er wies darauf hin, dass ich die Benutzereingaben in meinem Code ordnungsgemäß maskieren sollte. Also habe ich einige Nachforschungen angestellt und Fluchtfunktionen gefunden. Was ist der Unterschied zwischen ihnen? Wann soll ich esc_html()wann verwenden esc_attr()? Und wann soll ich diese Funktionen _e()am Ende …

12 functions escaping

5

Best Practice für PHP

Wenn Sie eine Vorlage wie single.php erstellen und PHP in HTML verpackt haben, ist es am besten: PHP starten + stoppen? beispielsweise <h1 class="post-tilte"><?php the_title(); ?></h1> <p class="post-content"><?php the_content();?></p> Oder Echo HTML und Escape PHP? Zum Beispiel - <?php echo '<h1 class="post-title">' . get_the_title() . '</h1> <p class="post-content"' . get_the_content() …

11 php wp-query escaping

2

Sollte die HTML-Ausgabe über esc_html () UND wp_kses () übergeben werden?

Ich bin verwirrt über die verschiedenen Verwendungen von esc_html()und wp_kses(). Ich verstehe, dass esc_html()Sonderzeichen in ihre HTML-Entität konvertiert werden und wp_kses()unerwünschte Tags (z. B. &lt;script&gt;) entfernt werden, bin mir jedoch nicht sicher, in welchen Kontexten sie zusammen oder getrennt verwendet werden sollen. Wenn ich nicht vertrauenswürdiges HTML durchführe esc_html(), wird …

11 escaping sanitization

1

Sollte aus Sicherheitsgründen bloginfo () oder get_bloginfo () maskiert werden?

Ich habe viele Informationen zur Sicherheit von WP-Themen und Plugins überprüft und das Konzept verstanden, dass Sie Attributen und HTML-Werten in Themen und Plugins entgehen sollten. Ich habe sowohl Standard als auch innerhalb einer oder Funktion gesehen bloginfo()und echo get_bloginfo()verwendet .esc_html()esc_attr() Genesis und _s , das Basisthema von Automattic, entziehen …

10 security options escaping bloginfo

1

Unterschied zwischen esc_url () und esc_url_raw ()

http://core.trac.wordpress.org/browser/trunk/wp-includes/formatting.php#L2239 Ich bin verwirrt darüber, wann einer von beiden verwendet werden soll. Angenommen, ich habe diese URL : http://site.com/?getsomejavascript=1, die dynamisch generiertes Javascript ist: Wenn ich das Skript mit einbeziehe esc_url(add_query_arg('apples', 420)), bekomme ich http://site.com/?getsomejavascript=1&#038;apples=420und es bricht aufgrund dieser #038;Referenzen Wenn ich benutze, esc_url_raw(add_query_arg('apples', 420))bekomme ich die richtige URL:http://site.com/?getsomejavascript=1&apples=420 aber …

9 urls escaping

3

Wie kann verhindert werden, dass beim Speichern von HTML-Code in einem Optionswert ein Escapezeichen entsteht?

Ich habe eine Seite mit Themenoptionen, auf der der Benutzer bestimmte Optionen wie Facebook-Links usw. hinzufügen kann. Eine der Optionen ist für einen Anzeigencode, und wenn er als Option gespeichert wird, wird er immer wieder maskiert. Was ist der beste Ansatz Code in einer Admin - Seite eingefügt zum Speichern …

9 escaping theme-options

1

Was ist der Unterschied zwischen dem Filter esc_html und dem Filter attribute_escape?

Was ist der genaue Unterschied zwischen esc_htmlund attribute_escapeFilter? esc_html()verwendet esc_html filterund esc_attr()verwendet attribute_escape filter. Beide codieren <> & "'(kleiner als, größer als, kaufmännisches Und, doppeltes Anführungszeichen, einfaches Anführungszeichen). Ich bin interessiert zu wissen, was sie genau in Bezug auf Sicherheit (Flucht) unterscheidet.

8 security escaping

1

Was ist der Unterschied zwischen esc_ * -Funktionen?

Ich habe Professional WordPress gelesen und es heißt: esc_htmlDie Funktion wird zum Bereinigen von Daten verwendet, die HTML enthalten. Diese Funktion codiert Sonderzeichen in ihre HTML-Entitäten esc_attr Funktion wird verwendet, um HTML-Attribute zu maskieren esc_url. Diese Funktion sollte verwendet werden, um die URL nach unzulässigen Zeichen zu durchsuchen. Obwohl das …

8 security escaping sanitization

1

Desinfizieren und Datenvalidierung mit der Funktion apply_filters ()

Sollten wir apply_filters()die folgenden Beispiele bereinigen und validieren ? absint( apply_filters( 'slug_excerpt_length', 35 ) ); wp_kses_post( apply_filters( 'slug_excerpt_more', '&hellip;' ) ); esc_url( apply_filters( 'slug_login_url', home_url( '/' ) ) ); Ich stelle diese Frage, weil ich das noch nie gesehen habe. Tatsächlich fügen wir eine Validierung hinzu, um zu verhindern, dass …

7 filters validation sanitization escaping

2

Für welche WP-Funktionen benötigen Sie esc_html () oder esc_url ()?

Ich bin auf Situationen gestoßen, in denen Leute entweder esc_html()oder esc_url()mit bestimmten WP-Funktionen wie z home_url('/'). Ein Beispiel ist das öffnende Ankertag des <a>Links zurück zur Homepage wie dieses: <a href="<?php echo esc_url( home_url( '/' ) ); ?>"> Woher wissen Sie, welche WP-Funktionen maskiert werden müssen, und spielt es eine …

7 functions security escaping

Als «escaping» getaggte Fragen