Alors, quelle est la différence entre ceux-ci, et quand devrions-nous utiliser chacun d'eux? Esc_attr () est-il suffisamment sûr pour échapper à tout type de données que l'utilisateur reçoit?
esc_attr () est pour la plupart un alias pour a) kses (supprime les caractères malveillants pour empêcher xss) et b) htmlspecialchars (), à utiliser dans les attributs HTML. Il peut être utilisé pour afficher une entrée utilisateur désinfectée qui ne peut pas contenir HTML.
Si vous avez seulement besoin de nettoyer les chaînes avant de les stocker dans la base de données, plusieurs variantes de kses sont disponibles.
Ne manquez pas non plus les autres fonctions esc _ * (). Il y en a plusieurs.
Les deux autres que vous mentionnez sont explicites.