我正在开发一个自定义主题,永远无法使用_s作为首发主题下载。
出于安全考虑,我是否需要逃避所有输出?我不是指变量,我的意思是纯文本。看到:
Intent
vs
<h1>Product Name<h1>
第二个例子来自_s。
的404.php基页我的猜测是他们逃避这个HTML以防止任何翻译错误/漏洞。但我的问题是:
<h1 class="page-title"><?php esc_html_e( 'That page can’t be found.', 'theme' ); ?></h1>
以任何方式不安全/易受攻击?
谢谢!
PD。我找到了与转义变量相关的答案,但我不确定纯文本。
答案 0 :(得分:0)
如果你的静态HTML是静态的,不变的,并且它是有效的,那么没有,没有必要逃避它。您唯一需要的是语法上有效的HTML,它表达您想要的内容。如果您的HTML不是动态生成的,那么您可以确保在编写HTML时手动完成这些标准。
话虽如此,esc_html_e
将文本翻译成其他语言,因此还有其他用途。