esc_url() und WordPress-Sicherheit?

Kann mir jemand erklären, Wann escaping-Funktionen?

Mein Ziel ist die Sicherheit meiner WordPress-theme. Ich benutzte ein blank-theme von Chris Coyier und code Hinzugefügt, um die website, die ich wollte. Ich bemerkte andere Themen verwendet entkommen Funktionen aber nicht Coyier ist leer Thema, so will ich, um zu verstehen, wo diese als inserts.

Nach der Lektüre des Codex und google-Ergebnisse und die Erforschung der code von ein paar Themen, ich bin immer noch unklar, Wann

esc_url()  
esc_attr()  
esc_html()  

Sehe ich nicht ein Muster, Wann diese. Zum Beispiel in einem Thema, für home_url ( ' /' ) - feststellen, dass esc_url verwendet wird, in header.php aber nicht in searchform.php -- Warum?

header.php

<a href=
//NOTICE ESCAPING FUNCTION BELOW
"<?php echo esc_url( home_url( '/' ) ); ?>"
title="<?php echo esc_attr( get_bloginfo( 'name', 'display' ) ); ?>" ><?php bloginfo( 'name' ); ?></a>

searchform.php

<form role="search" method="get" id="searchform" action=
//NO ESCAPING FUNCTION BELOW
"<?php echo home_url( '/' ); ?>"
>
  • Hier ist ein Beispiel, wenn die Verwendung esc_url statt esc_attr zu verhindern, XSS: <a href="<?= esc_url('javascript:alert(1)') ?>">test</a>. Wenn Sie verwendet haben würde esc_attr JavaScript-code noch ausgeführt werden.
InformationsquelleAutor leko | 2014-07-23
Schreibe einen Kommentar