在 Wordpress 中转义输出

【问题标题】:escaping output in Wordpress在 Wordpress 中转义输出
【发布时间】:2016-07-08 18:44:44
【问题描述】:

我正在开发一个自定义主题,使用 _s 作为启动主题将永远无法下载。

出于安全考虑,我是否需要转义所有输出?我不是指变量,我指的是纯文本。看: <h1>Product Name<h1>vs

<h1 class="page-title"><?php esc_html_e( 'That page can&rsquo;t be found.', 'theme' ); ?></h1>

第二个例子取自_s的404.php基页。

我的猜测是他们转义了这个 html 以防止任何翻译错误/漏洞。但我的问题是:

&lt;h1&gt; Product Name&lt;/h1&gt; 是否不安全/易受攻击?

谢谢!!

PD。我找到了与转义变量相关的答案,但我不确定纯文本。

【问题讨论】:

  • 您只需要转义&lt;&gt; 字符,其他人则不需要。绝对是&amp; 之一。其他的?我不这么认为,尽管您应该避免使用 UTF-7。

标签: html wordpress security


【解决方案1】:

如果你的静态 HTML 是静态的、不变的,并且它是有效的,那么 ,那么转义它是没有意义的。您唯一需要的是语法上有效的 HTML,它表达了您想要的内容。如果您的 HTML 不是动态生成的,您可以在编写时手动确保它满足这些条件。

话虽如此,esc_html_e文本翻译成其他语言,所以还有其他用途。

【讨论】:

  • 感谢您的回答。就我而言,我将是唯一一个使用这个主题的人,所以我不需要关心翻译。我只是想确保我没有遗漏任何不安全的代码,即使我不这么认为。新手最好问一下。
猜你喜欢
  • 1970-01-01
  • 2010-12-16
  • 2012-12-16
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2014-06-15
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode