esc_html()thoát khỏi một chuỗi để nó không được phân tích cú pháp dưới dạng HTML. Các nhân vật như <được chuyển đổi thành <, ví dụ. Điều này sẽ giống với người đọc, nhưng điều đó có nghĩa là nếu giá trị là đầu ra <script>thì nó sẽ không được trình duyệt hiểu là thẻ script thực sự.
Sử dụng chức năng này bất cứ khi nào giá trị là đầu ra không được chứa HTML.
esc_attr()thoát khỏi một chuỗi để nó an toàn khi sử dụng trong một thuộc tính HTML, class=""ví dụ như. Điều này ngăn giá trị thoát ra khỏi thuộc tính HTML. Ví dụ: nếu giá trị là "><script>alert();</script>và bạn đã cố xuất nó trong thuộc tính HTML, nó sẽ đóng thẻ HTML hiện tại và mở thẻ script. Điều này là không an toàn. Bằng cách thoát khỏi giá trị, nó sẽ không thể đóng thuộc tính và thẻ HTML và xuất ra HTML không an toàn.
Sử dụng chức năng này khi xuất giá trị bên trong thuộc tính HTML.
esc_url() thoát khỏi một chuỗi để đảm bảo rằng đó là một URL hợp lệ.
Sử dụng chức năng này khi xuất ra một giá trị bên trong một thuộc tính href=""hoặc src="".
esc_textarea()thoát khỏi một giá trị để nó an toàn khi sử dụng trong một <textarea>phần tử. Bằng cách thoát một giá trị với hàm này, nó ngăn giá trị được xuất ra bên trong <textarea<từ đóng <textarea>phần tử và xuất ra HTML của chính nó.
Sử dụng chức năng này khi xuất một giá trị bên trong một <textarea>phần tử.
esc_html()và esc_attr()cũng có phiên bản kết thúc bằng __(), _e()và _x(). Đây là để xuất chuỗi có thể dịch.
WordPress có chức năng, __(), _e()và _x(), cho outputting văn bản có thể được dịch. __() trả về một chuỗi có thể dịch, _e() lặp lại một chuỗi có thể dịch và _x()trả về một chuỗi có thể dịch với một bối cảnh nhất định. Bạn có thể đã nhìn thấy chúng trước đây.
Vì bạn không nhất thiết phải tin tưởng một tệp dịch để chứa các giá trị an toàn, sử dụng các hàm này khi xuất ra một chuỗi có thể dịch đảm bảo rằng các chuỗi được xuất không thể gây ra vấn đề tương tự được mô tả ở trên.
Sử dụng các hàm này khi xuất các chuỗi có thể dịch.