Использование esc_html с очистителем HTML и CSSTidy: Overkill?

В настоящее время мой ввод текстовой области (который принимает пользовательский ввод CSS от пользователя) в панели параметров темы WordPress дезинфицируется функцией esc_html в WordPress http://codex.wordpress.org/Function_Reference/esc_html

Однако я думаю о безопасном подходе, поэтому я хотел бы добавить очиститель HTML и CSSTidy, как показано здесь: https://stackoverflow.com/questions/3241616/sanitize-user-defined-css-in-php

Это необходимо? Или основная функция WordPress, такая как esc_html, уже использует очиститель HTML, поэтому это больше не требуется. Пожалуйста, порекомендуйте. Благодарю.

Solutions Collecting From Web of "Использование esc_html с очистителем HTML и CSSTidy: Overkill?"

Если вы беспокоитесь только о панели администратора, то esc_html будет достаточно, поскольку он преобразует все «<» в & lt; исключая возможность добавления допустимых тегов HTML.

Но если вы добавите CSS в сгенерированный HTML, вам может понадобиться снять любой тег HTML, который он может содержать, используя функцию wp_kses

$css = wp_kses($css,array(),array()); 

должен удалить весь HTML-код из CSS.

Но зачистка вообще не нужна, если пользователь имеет возможность unfiltered_html , обычно администратор автономного сайта.