Экранирование кавычек в атрибутах шорткодов WordPress

Оказывается, система шорткодов WordPress использует функцию shortcode_parse_atts($text); для разбора записи шорткода, чтобы извлечь имена и значения атрибутов и сохранить их парами в массиве $atts, который затем передается в функцию шорткода. Таким образом, в вашем случае добавление экранирующих действий в функцию шорткода, например:

$aps_person_description = esc_html($atts['aps_person_description']); 

не сработает, потому что shortcode_parse_atts() уже извлек имена и значения атрибутов и мог неправильно интерпретировать кавычки в значениях атрибутов.

При ближайшем рассмотрении функция shortcode_parse_atts() использует такое регулярное выражение:

/(\w+)\s*=\s*"([^"]*)"(?:\s|$)|(\w+)\s*=\s*\'([^\']*)\'(?:\s|$)|(\w+)\s*=\s*([^\s\'"]+)(?:\s|$)|"([^"]*)"(?:\s|$)|(\S+)(?:\s|$)/

для распознавания имен и значений атрибутов в следующих форматах:

1. attr1="value1"
2. attr2='value2'
3. attr3=value3
4. "value4"
5. value5

Поэтому, если пользователь вставит кавычки в значения, это может легко привести к ошибке. Например:

[my_shortcode dog='Santa's Little Helper' /]    
// $attr будет Array ( [0] => dog='Santa's [1] => Little [2] => Helper' )
// а должно быть Array ( [dog] => Santa's Little Helper )

Санитизация после разбора явно слишком запоздалая. А что насчет санитизации перед разбором? Придется обрабатывать всю запись, так как у нас еще нет значений атрибутов для работы. Но это тоже вызывает проблемы, например:

html_entities("[my_shortcode dog='Santa's Little Helper' /]", ENT_QUOTES);
// теперь запись выглядит как [my_shortcode dog='Santa's Little Helper' /]
// после разбора: 
Array
(
    [dog] => 'Santa's
    [0] => Little
    [1] => Helper'
)

Парадокс в том, что для корректного разбора парсером необходимо санитизировать значения атрибутов, но чтобы это сделать, сначала нужно запустить парсер и получить эти значения.

В заключение, я считаю, что разумным способом обеспечить корректную работу является требование к пользователям вводить атрибуты в правильном формате. Если пользователь введет плохо отформатированные атрибуты, это станет большой головной болью. Для справки, мой опыт подсказывает использовать $content. В вашем случае я бы поместил aps_person_description в $content, это может выглядеть так:

[my_shortcode]текст здесь с "кавычками", которые могут прерывать атрибут...[/my_shortcode]

и кавычки будут меньше проблемой.

Я столкнулся с похожей проблемой при выводе PHP-переменной в атрибут шорткода. В моем случае это было название термина таксономии, а не пользовательский ввод, поэтому не требовалось санитизации.

Использование htmlentities() с флагом ENT_QUOTES позволяет использовать строки, содержащие ' и ", в качестве атрибутов шорткода. Однако это также преобразует другие символы в HTML-сущности, например, & в &, что в моем случае было нежелательно.

Чтобы преобразовывать только символы ' и " в HTML-сущности, не затрагивая другие символы, такие как &:

htmlspecialchars_decode( htmlentities($value_to_print, ENT_QUOTES), ENT_NOQUOTES )

htmlspecialchars_decode() отменяет все преобразования, выполненные функцией htmlentities(). Использование флага ENT_NOQUOTES предотвращает обратное преобразование символов ' и ".