Care este diferența dintre esc_html, esc_attr, esc_html_e și altele?

esc_html() escapă un șir de caractere astfel încât să nu fie interpretat ca HTML. Caractere precum < sunt convertite în <, de exemplu. Acest lucru va arăta la fel pentru cititor, dar înseamnă că dacă valoarea afișată este <script>, atunci nu va fi interpretată de browser ca un tag de script real.

Folosiți această funcție ori de câte ori valoarea afișată nu ar trebui să conțină HTML.

esc_attr() escapă un șir de caractere astfel încât să fie sigur pentru utilizarea într-un atribut HTML, cum ar fi class="", de exemplu. Acest lucru previne ca o valoare să iasă din atributul HTML. De exemplu, dacă valoarea este "><script>alert();</script> și ați încerca să o afișați într-un atribut HTML, aceasta ar închide tag-ul HTML curent și ar deschide un tag de script. Acest lucru este nesigur. Prin escaparea valorii, aceasta nu va putea închide atributul HTML și tag-ul și nu va afișa HTML nesigur.

Folosiți această funcție atunci când afișați o valoare în interiorul unui atribut HTML.

esc_url() escapă un șir de caractere pentru a se asigura că acesta este un URL valid.

Folosiți această funcție atunci când afișați o valoare în interiorul unui atribut href="" sau src="".

esc_textarea() escapă o valoare astfel încât să fie sigură pentru utilizarea într-un element <textarea>. Prin escaparea unei valori cu această funcție, se previne ca o valoare afișată în interiorul unui <textarea> să închidă elementul <textarea> și să afișeze propriul HTML.

Folosiți această funcție atunci când afișați o valoare în interiorul unui element <textarea>.

esc_html() și esc_attr() au și versiuni care se termină cu __(), _e() și _x(). Acestea sunt pentru afișarea șirurilor de caractere traductibile.

WordPress are funcții, __(), _e() și _x(), pentru afișarea textului care poate fi tradus. __() returnează un șir de caractere traductibil, _e() afișează un șir de caractere traductibil, iar _x() returnează un șir de caractere traductibil cu un context dat. Probabil le-ați văzut deja.

Deoarece nu puteți avea încredere că un fișier de traducere conține valori sigure, utilizarea acestor funcții atunci când afișați un șir de caractere traductibil asigură că șirurile afișate nu pot provoca aceleași probleme descrise mai sus.

Folosiți aceste funcții atunci când afișați șiruri de caractere traductibile.

esc_html ar fi folosit în interiorul HTML, de exemplu între un tag <p>

<p><?php echo esc_html( $some_variable ); ?></p>

esc_attr ar fi folosit pentru escaparea valorilor atributelor în tag-urile HTML, astfel:

<p my-attribute="<?php echo esc_attr( $some_variable ); ?>"></p>

Aplicarea sufixului _e este pentru utilizarea cu domenii de text și va afișa automat rezultatul, de exemplu:

<p><?php esc_html_e( 'some-text', 'text-domain' ); ?></p>

<p my-attribute="<?php esc_attr_e( 'some-text', 'text-domain' ); ?>"></p>

Pe lângă _e, există și __ care face același lucru ca _e, dar nu afișează rezultatul, astfel încât îl poți stoca într-o variabilă.