escaping danych w Worpdress – czyli funkcje esc_*

W WordPressie mamy kilka funkcji esc_*, które służą do oczyszczania (ang. escaping) danych przed wyświetleniem ich w HTML, dzięki temu bezpiecznie wyświetlisz dane w HTML, i unikniesz XSS, błędów składni i innych problemów.

Zestawienie funkcji esc_() w WordPressie

• esc_html() – zamienia znaki HTML (<, >, &, „, ’) na encje HTML – używasz w widocznej treści HTML w zancznikach p, h1, span
• esc_attr() – zamienia znaki specjalne i ucieka dane do bezpiecznego użycia w atrybutach – używasz w atrybutach HTML (alt, title, value, id, class, data-*)
• esc_url() – usuwa niedozwolone protokoły (javascript:, data:), oczyszcza URL – używasz w atrybutach typu URL (href, src, action, form)
• esc_js() – zamieszcza dane do bezpiecznego użycia w JS (np. ’, „, \) – używasz wewnątrz skryptów JavaScript lub atrybutów typu onclick, onchange
• esc_textarea() – zachowuje nowe linie, usuwa inne znaki – używasz wewnątrz textarea
• esc_url_raw() – czyści URL bez kodowania encji (możesz też użyć sanitize_text_field()) – do backendu, nie HTML – do przetwarzania i zapisu URL do bazy danych (nie do wyświetlania!)
• esc_sql() – czyszcza dane do użytku w zapytaniach SQL (choć lepiej użyć $wpdb->prepare) – do zabezpieczania zapytań SQL