Описание esc_html
— Filter
Хук esc_html позволяет экранировать строки, чтобы предотвратить выполнение вредоносного кода. Он срабатывает при выводе данных на экран и используется для обеспечения безопасности, особенно при работе с пользовательскими данными.
Примеры использования
Пример экранирования пользовательского ввода:
$user_input = '<script type="litespeed/javascript">alert("XSS")</script>';
echo esc_html($user_input);
Это предотвратит выполнение JavaScript-кода и выведет строку как текст.
Пример использования в функции вывода данных:
function display_product_name($product_name) {
echo esc_html($product_name);
}
display_product_name('<b>Товар</b>');
Имя товара будет выведено как текст, а не как HTML.
Пример экранирования данных из базы данных:
$db_value = get_option('my_option');
echo esc_html($db_value);
Это экранирует значение, полученное из базы данных, перед его выводом.
— Лучшие практики
– Использование
Используйте esc_html всегда, когда выводите данные, полученные от пользователя или из базы данных, чтобы предотвратить XSS-атаки
– Производительность
Хук достаточно легковесен и не должен значительно влиять на производительность
– Предупреждения
Не используйте esc_html для строк, которые уже являются безопасными и не содержат пользовательских данных
Альтернативы
Тип: filter
Используется для экранирования атрибутов HTML, таких как значения в тегах.
Используйте esc_attr, когда необходимо экранировать данные, которые будут использоваться в атрибутах HTML.
Тип: filter
Позволяет более гибко фильтровать HTML-код, позволяя определенные теги и атрибуты.
Используйте wp_kses, если нужно разрешить некоторые HTML-теги, но экранировать все остальные.
