タグ付けされた質問 「escaping」

私はコードを見ましたが、the_title the_content the_excerptなどの機能で逃げるのを見ることができませんでした。私はそれを正しく読んでいないかもしれません。次のようなテーマ開発でこれらの関数をエスケープする必要がありますか？ esc_html ( the_title () ) 編集：以下の回答で指摘されているように、上記のコードは関係なく間違っています-コードは読む必要があります esc_html ( get_the_title () )

15 security  escaping 

セキュリティ担当者からフィードバックがあり、コードではユーザー入力の適切なエスケープを使用する必要があると彼は指摘しました。だから私はいくつかの研究を行って、エスケープ関数を見つけました。 それらの違いは何ですか？いつesc_html()、いつ使用すればよいesc_attr()ですか？そして、いつこれらの関数を_e()最後に使用する必要がありますか？

12 functions  escaping 

single.phpなどのテンプレートを実行していて、phpがhtmlでラップされている場合、次のことを行うのが最善です。 PHPを起動して停止しますか？例えば <h1 class="post-tilte"><?php the_title(); ?></h1> <p class="post-content"><?php the_content();?></p> または Echo HTMLとEscape PHP？例えば ​​- <?php echo '<h1 class="post-title">' . get_the_title() . '</h1> <p class="post-content"' . get_the_content() . '</p> 私はあらかじめ解放された選択肢がなく、自分が両方をやっていることに気づきます。

11 php  wp-query  escaping 

私は別の用途について混乱しているesc_html()とwp_kses()。esc_html()特殊文字をHTMLエンティティに変換し、wp_kses()不要なタグ（例：）を削除することを理解していますが、<script>それらをどのコンテキストで一緒に使用するか、個別に使用するかはわかりません。 を介して信頼できないHTMLを実行esc_html()すると、JavaScriptはブラウザによってレンダリングされるのではなくプレーンテキストで表示されるため、その時点で安全ですよね。それを実行する唯一の理由wp_kses()は、生のスクリプトが表示されないようにすることですか？ 基本的に、esc_html()それを安全にし、wp_kses()きれいにします。あれは正しいですか？

11 escaping  sanitization 

私はWPのテーマとプラグインのセキュリティに関する多くの情報を見直しており、テーマとプラグインの属性とHTML値をエスケープする必要があるという概念を理解しています。私が見てきたbloginfo()とecho get_bloginfo()の両方の標準および内部で使用esc_html()またはesc_attr()機能。 Automatticの基本テーマである Genesisと _sはどちらもこれらの値をエスケープしますが、WP独自のcodexテーマ標準ガイドはこれらの値のエスケープについて何も述べていません。私はWPコード（wp-includes/option.php）を調べましたが、渡されget_option()た値が少し無害化されているようですが、プラグインが特定の値を上書きできるフィルターもあるようです。 それを逃れるべきだと私が考えるようになったのはこの事実です。誰かがこれについて教えてくれますか？

10 security  options  escaping  bloginfo 

http://core.trac.wordpress.org/browser/trunk/wp-includes/formatting.php#L2239 どちらを使用するかについて混乱しています。 私がこのURLを持っていると仮定します：http://site.com/?getsomejavascript=1動的に生成されるJavaScript： スクリプトをに含めた場合esc_url(add_query_arg('apples', 420))、取得さhttp://site.com/?getsomejavascript=1&apples=420れ、それらの#038;参照が原因で壊れます 私が使用する場合esc_url_raw(add_query_arg('apples', 420))、正しいURLを取得します：http://site.com/?getsomejavascript=1&apples=420 しかし、ドキュメントでは、esc_url_rawはデータベースに挿入されたURLをエスケープするためにのみ使用する必要があることがわかりました...

9 urls  escaping 

私はユーザーがFacebookリンクなどの特定のオプションを追加できるテーマオプションページを持っています。オプションの1つは広告コード用で、オプションとして保存すると何度もエスケープされます。 <textarea>を使用して管理ページに挿入されたコードを保存するための最良のアプローチは何update_option( 'sidebar_code', $_POST['sidebar_code'] );ですか？

9 escaping  theme-options 

esc_htmlとattribute_escapeフィルターの正確な違いは何ですか？ esc_html()使用esc_html filterとesc_attr()使用attribute_escape filter。どちらも<>＆ "'（より小さい、より大きい、アンパサンド、二重引用符、単一引用符）をエンコードします。 彼らがセキュリティの点でどのように正確に異なるのか（脱出）に興味があります。

8 security  escaping 

私はProfessional WordPressを読みました、そしてそれは言う： esc_html関数は、HTMLを含むデータのスクラブに使用されます。この関数は、特殊文字をHTMLエンティティにエンコードします esc_attr 関数はHTML属性をエスケープするために使用されます esc_url。この関数は、不正な文字がないかURLをスクラブするために使用する必要があります。hrefは技術的にはHTML属性ですが これらの違いは何ですか？ 私が持っている場合 <script>alert('hello world!');</script>this is some content すべて< >に変換され< >ますか？URLは次のようになり%xxxますか？

8 security  escaping  sanitization