Описание функции wp_kses_post()
Функция wp_kses_post() очищает HTML-код, разрешая только безопасные теги и атрибуты, что делает ее идеальной для обработки пользовательского ввода, например, комментариев и описаний товаров. Эта функция используется для предотвращения XSS-уязвимостей при выводе данных на страницах сайта.
Функция позволяет сохранить базовую разметку, такую как
, , и др., в то время как потенциально опасные элементы удаляются.
Параметры
$string
Тип: string
Обязательный: Да
Описание: HTML-код, который необходимо санитизировать
Возможные значения:
Возвращаемое значение
Тип: string
Описание: Санитизированный HTML-код
Возможные значения:
• Санитизированная строка с разрешенными тегами
• Пустая строка, если все теги удалены
Примеры использования
Базовый пример санитизации HTML-кода
$sanitized = wp_kses_post('<p>Это <strong>безопасный</strong> текст.</p>');
// Вывод: <p>Это <strong>безопасный</strong> текст.</p>
Разрешенные теги сохраняются
Скрипты удаляются, возвращая пустую строку
$sanitized = wp_kses_post('<script type="litespeed/javascript">alert("XSS")</script>');
// Вывод: ''
Опасные теги удаляются
Безопасность
Валидация входных данных: Функция ожидает строку в качестве входного параметра
Санитизация: Входные данные проходят автоматическую очистку от опасных тегов
Рекомендации: Всегда используйте wp_kses_post() для пользовательского ввода перед выводом
— Связанные функции
Санитизация HTML с использованием настраиваемого списка разрешенных тегов
Удаляет все HTML-теги из строки
— Хуки
Позволяет изменять список разрешенных HTML-тегов и атрибутов
— Примечания
– Ограничения
Функция разрешает только определенные HTML-теги, такие как
– Частые проблемы
- Некорректный вывод при использовании неподдерживаемых тегов
- Потеря данных, если все теги удалены
