私は別の用途について混乱しているesc_html()
とwp_kses()
。esc_html()
特殊文字をHTMLエンティティに変換し、wp_kses()
不要なタグ(例:)を削除することを理解していますが、<script>
それらをどのコンテキストで一緒に使用するか、個別に使用するかはわかりません。
を介して信頼できないHTMLを実行esc_html()
すると、JavaScriptはブラウザによってレンダリングされるのではなくプレーンテキストで表示されるため、その時点で安全ですよね。それを実行する唯一の理由wp_kses()
は、生のスクリプトが表示されないようにすることですか?
基本的に、esc_html()
それを安全にし、wp_kses()
きれいにします。あれは正しいですか?