Описание функции esc_html_e()
Функция esc_html_e() экранирует строку для безопасного вывода в HTML и сразу выводит ее. Это полезно для предотвращения XSS-атак, когда нужно выводить пользовательский ввод или данные из базы данных.
Функция используется в шаблонах и плагинах при выводе текстовых значений, чтобы избежать проблем с безопасностью
Параметры
$text
Тип: string
Обязательный: Да
Описание: Строка для экранирования и вывода
Возможные значения:
$domain
Тип: string
Обязательный: Нет
По умолчанию: ‘default’
Описание: Текстовый домен для локализации
Возможные значения:
Возвращаемое значение
Тип: void
Описание: Функция ничего не возвращает
Возможные значения:
Примеры использования
esc_html_e('Hello, World!', 'text-domain');
// Вывод: Hello, World!
esc_html_e(__('Welcome to my site!', 'text-domain'), 'text-domain');
// Вывод: Welcome to my site!
<h1><?php esc_html_e('Site Title', 'my-theme'); ?></h1>
// Вывод: Site Title в заголовке
$user_input = '<script type="litespeed/javascript">alert("XSS")</script>';
esc_html_e($user_input);
// Вывод: <script>alert("XSS");</script>
Безопасность
Валидация входных данных: Параметр text всегда должен быть строкой
Санитизация: Функция автоматически экранирует входные данные
Рекомендации: Всегда используйте esc_html_e() для вывода пользовательского ввода
— Связанные функции
Экранирует строку для безопасного вывода в HTML без немедленного вывода
Локализует строку без экранирования
— Примечания
– Ограничения
Функция не возвращает значения, только выводит их
– Частые проблемы
- Ошибки при передаче неверных типов данных
- Необходимость в локализации для мультиязычных сайтов
