Когда мне нужно использовать esc_attr при использовании внутренних функций WordPress

Когда я помещаю значение WordPress внутри тега атрибута, например, следующий метод не нужен esc_attr

например

 // JS code alert('<?php echo get_bloginfo('name');?>'); 

для следующего метода нужен esc_attr

 // JS code alert('<?php echo esc_attr($post->post_title);?>'); 

Что такое конвенция?

Solutions Collecting From Web of "Когда мне нужно использовать esc_attr при использовании внутренних функций WordPress"

Вы можете посмотреть на Кодекс .

Кодирует <> & "'(меньше, больше, амперсанд, двойная кавычка, одинарная кавычка). Никогда не будет дважды закодировать объекты.

Учитывая, что, возможно, обе эти строки нуждаются в дезинфекции . Представьте себе название сайта, например, >> "My" Website's Great Title <<"

Кроме того, поскольку вы используете это в Javascript, скорее всего, вы должны использовать esc_js .

Соглашение гласит: «Понимайте, как работает разметка, и как вредоносные хакеры работают и действуют соответственно». Вот как вы знаете, как использовать эти функции. Кроме того, доверяйте никому .

См. Также эту статью от нашего члена Стивен Харрис : санитария данных и валидация с помощью WordPress

Вы используете esc_attr() когда вы esc_attr() что-то, предназначенное для атрибута HTML.

В вашем случае вы должны использовать esc_js() или, возможно, json_encode() .

Если в заголовке вашей записи есть одна цитата. Вывод вашего кода будет

предупреждение («Это плохо»);

то есть, нарушая ваш код JavaScript, и вы получите «Неожиданный идентификатор». Когда вы используете esc_attr , вывод будет

alert ('It & # s bad');

Заголовок заголовка будет закодирован, поэтому он будет работать внутри строк.