esc_html / esc_attr / esc_url

WordPress 🟢 Junior

Definition

Fonctions d'echappement WordPress adaptees au contexte de sortie : esc_html pour le contenu, esc_attr pour les attributs HTML, esc_url pour les URLs.

Analogie

Comme des combinaisons de protection differentes selon l'environnement : labo, chantier, ou cuisine.

Exemple de code

<a href="<?php echo esc_url($link); ?>">
  <?php echo esc_html($title); ?>
</a>
<input value="<?php echo esc_attr($value); ?>">
<?php echo wp_kses_post($html_content); ?>

Cas d'usage

A chaque affichage de donnees dynamiques dans les templates WordPress, selon le contexte.

Anti-pattern

Utiliser esc_html dans un attribut href (ne protege pas contre javascript: URLs).

Termes lies

#core#interview#security#wordpress