Что такое esc_html_e() в WordPress PHP?
Почему разработчики используют
<?php esc_html_e() ?>
на страницах 404, что это означает и как работает?

Это комбинация функций _e()
, которая выводит переводимую строку, и esc_html()
, которая предназначена для безопасного вывода текста, чтобы он не интерпретировался как HTML.
Её следует использовать для предотвращения внедрения HTML-кода в переводы, что может нарушить разметку или создать угрозы безопасности.
Например, если в вашей теме используется:
_e( 'My translatable string', 'my-text-domain' );
То возможно, что перевод строки 'My translatable string'
будет содержать что-то вроде '<script>alert('Bad!');</script>'
. Если вы не используете esc_html_e()
, то этот скрипт будет выполнен. При использовании esc_html_e()
этого не произойдёт, так как символы <
и >
будут экранированы как <
и >
, что приведёт к их отображению как обычного текста, а не как HTML-тегов.

Всё вышесказанное верно, я бы хотел добавить несколько ссылок для вашего дальнейшего обучения (Google и - самое главное - Кодекс WordPress, кстати, ваши лучшие друзья): Отличная статья о санации данных: https://codex.wordpress.org/Validating_Sanitizing_and_Escaping_User_Data А это по другой части темы - переводам (весь Handbook по темам чрезвычайно полезен): https://developer.wordpress.org/themes/functionality/internationalization/
