Quand utiliser esc_url, esc_html, esc_attr et amis?
Découvert esc_url aujourd'hui en personnalisant un thème _ s . Je comprends ce que fait la fonction (nettoie l'URL à l'intérieur), mais ce dont je ne suis pas sûr, c'est la portée de son utilisation.
Il est logique pour moi que si j'accepte les entrées d'URL d'un utilisateur, je les utiliserais. Mais quand je regardais une fonction qui affichait les méta-informations de l'entrée ( , voyez-la ici ... ligne 129 pour le moment), elle utilisait esc_url, ce qui n'a pas de sens pour moi.
Si je travaille sur un thème, dois-je échapper à TOUT URL que je mets dans mes fichiers de modèle?
Ces fonctions sont utilisées pour produire un code HTML valide et non pour nettoyer les entrées. Vous devez les utiliser à tout moment si vous n'êtes pas sûr à 100% que ce que vous voulez générer est un code HTML valide pour ce contexte.
Devez-vous échapper à tout? Je suppose que les gens du thème ont décidé qu'il valait mieux être en sécurité que désolé, et il y a une certaine logique à cela.