摘要:
作为一名合格的WordPress开发者,除了需要具备功能开发的能力,还要具备对产品安全性的保障能力,这些都需要在不断的开发实践中不断提高。今天我们就来一起学习在WordPress开发中使用esc_html()等函数转义输出,提高安全性的方法。
esc_html()是wordpress主题插件开发中常用的wordpress函数之一,其作用是把各种字符转义成HTML实体,如小于号(<)、大于号(>)、与(&)、双引号(””)、单引号(”)等,如果已经是HTML实体的字符则不会再转义。通过该函数就可以输出完整的字符串,即使字符串带有HTML标签,如“<strong>字体加粗</strong>”,而不仅仅是加粗后的“字体加粗”四个文字。
代码结构
<?php esc_html( $text ) ?>
参数说明
$text – (字符串)(必须)要转义为HTML实体的字符串,默认值为空,会返回已经编码转义为HTML实体的文本
代码示例
<?php
$html = '<a href="https://www.4xseo.com" title="SEO博客">SEO博客</a>';
$esc = esc_html($html);
echo $esc;
?>
上面的代码的输出结果是:
<a href=”https://www.4xseo.com” title=SEO博客>SEO博客</a>
而不是
文件位置:
wp-includes/formatting.php