Qual è la differenza tra esc_html, esc_attr, esc_html_e e simili?

esc_html() codifica una stringa in modo che non venga interpretata come HTML. Caratteri come < vengono convertiti in <, ad esempio. Questo apparirà uguale al lettore, ma significa che se il valore da visualizzare è <script> non verrà interpretato dal browser come un tag script reale.

Usa questa funzione ogni volta che il valore da visualizzare non dovrebbe contenere HTML.

esc_attr() codifica una stringa in modo che sia sicura da utilizzare in un attributo HTML, come class="" ad esempio. Questo impedisce a un valore di uscire dall'attributo HTML. Ad esempio, se il valore è "><script>alert();</script> e provi a visualizzarlo in un attributo HTML, chiuderebbe il tag HTML corrente e aprirebbe un tag script. Questo è pericoloso. Codificando il valore, non sarà in grado di chiudere l'attributo e il tag HTML e visualizzare codice HTML non sicuro.

Usa questa funzione quando visualizzi un valore all'interno di un attributo HTML.

esc_url() codifica una stringa per assicurarsi che sia un URL valido.

Usa questa funzione quando visualizzi un valore all'interno di un attributo href="" o src="".

esc_textarea() codifica un valore in modo che sia sicuro da utilizzare in un elemento <textarea>. Codificando un valore con questa funzione si impedisce che un valore visualizzato all'interno di un <textarea> chiuda l'elemento <textarea> e visualizzi il proprio HTML.

Usa questa funzione quando visualizzi un valore all'interno di un elemento <textarea>.

esc_html() e esc_attr() hanno anche versioni che terminano con __(), _e() e _x(). Queste servono per visualizzare stringhe traducibili.

WordPress ha le funzioni __(), _e() e _x() per visualizzare testo che può essere tradotto. __() restituisce una stringa traducibile, _e() stampa una stringa traducibile e _x() restituisce una stringa traducibile con un contesto specificato. Probabilmente le hai già viste.

Poiché non puoi necessariamente fidarti che un file di traduzione contenga valori sicuri, utilizzare queste funzioni quando visualizzi una stringa traducibile assicura che le stringhe visualizzate non possano causare i problemi descritti sopra.

Usa queste funzioni quando visualizzi stringhe traducibili.

esc_html verrebbe utilizzato all'interno dell'HTML, ad esempio tra un tag <p>

<p><?php echo esc_html( $some_variable ); ?></p>

esc_attr verrebbe utilizzato per l'escape dei valori degli attributi nei tag HTML in questo modo:

<p my-attribute="<?php echo esc_attr( $some_variable ); ?>"></p>

Aggiungere _e alla fine serve per utilizzarlo con i domini di testo e lo stamperà automaticamente per te, ad esempio:

<p><?php esc_html_e( 'testo-qualsiasi', 'dominio-testo' ); ?></p>

<p my-attribute="<?php esc_attr_e( 'testo-qualsiasi', 'dominio-testo' ); ?>"></p>

Oltre a _e esiste anche __ che fa la stessa cosa di _e ma non lo stampa, quindi puoi memorizzarlo in una variabile.