因为,我只能保持三分钟热度,所以,知识点一定要在三分钟之内讲完……
先说明一下,这个说的输出数据,特指输出数据到网面上,或者称为渲染数据到网面,更为合适。这种场景下,经常会遇到一个安全问题:XSS
Cross-site scripting (XSS) 是一种常见于web应用程序的计算机安全漏洞。XSS使攻击者能够将客户端脚本注入其他用户查看的网页。攻击者可利用跨站点脚本漏洞绕过访问控制,如同源策略。
要解决这个问题也很简单,就是将字符转义后再输出。你没猜错!WordPress 同样提供了一大批转义函数。
esc_attr 用于打印到HTML元素属性中的所有其他内容。
esc_html 只要html元素包含正在显示的一段数据,就可以使用。这不会将HTML显示为HTML(因此<strong>将按原样输出,而不是使用粗体),它用于HTML内部,并将删除HTML。
esc_js 用于内联Javascript,它转义Javascript以用于<script>标记。
esc_textarea 用于编码文本,以便在textarea元素中使用。
esc_url 用于所有url,包括HTML元素的src和href属性中的url。
esc_url_raw 在数据库中存储url时使用,或在需要非编码url的其他情况下使用。
esc_xml 用于转义xml块。
wp_kses 用于安全地转义所有不受信任的HTML(发布文本、注释文本等)。这将HTML显示为HTML(因此<em>将显示为强调文本)
wp_kses_post wp_kses的替代版本,它自动允许文章内容中允许的所有HTML。
是不是哪里不对?wp_kses 和 wp_kses_post 又出现了!是的,这就是 wp_kses 的复杂与强大,输入输出都可以用……
使用举例:
esc_html_e( 'Hello World', 'text_domain' );
// Same as
echo esc_html( __( 'Hello World', 'text_domain' ) );需要再啰嗦一句,如果你需要输出的就是html代码,就不要再对他们转义了!或者进行有条件的转义,这正是 wp_kses 的用武之地!
-
Fluent Forms - WordPress表单插件Fluent Forms是一款功能强大且易于使用的WordPress表单插件,适合各种规模的网站使用。无论是简单的联系表单还是复杂的用户调查表,Fluent Forms都能满足用户的需求。
-
WP-Ban WordPress禁止指定IP访问网站的插件WP-Ban是一款专为WordPress网站设计的安全插件,其主要功能是屏蔽恶意或不受欢迎的IP地址,以增强网站的安全性。
-
WPvivid插件:WordPress网站备份与还原的解决方案WPvivid插件是一款功能强大的WordPress插件,专为网站数据备份、还原和搬家设计。它支持高度自定义的备份选项,允许用户选择备份整个站点(包括数据库和文件)、仅文件或仅数据库。
-
Dashboard Notes WordPress仪表盘中添加备注信息的实用插件WP Dashboard Notes插件是WordPress平台上一个实用的仪表盘备注信息工具,它可以帮助网站管理者更好地记录和管理网站的日常维护工作、待办事项等。通过该插件的自定义备注和待办列表功能,用户可以更好的跟踪和完成任务,提高网站管理的效率和质量。
-
FluentSMTP一款功能强大且免费的WordPress SMTP插件FluentSMTP是一款功能强大且免费的SMTP插件,它支持为WordPress配置多个SMTP发送服务器。
-
Rename Taxonomies by WebMan:自定义WordPress分类法标签的得力助手Rename Taxonomies by WebMan是一款用于WordPress的插件,其主要功能是允许用户自定义已注册分类法(Taxonomy)的文本和菜单标签。
暂无评论,抢个沙发...