您当前的位置:首页 > TAG信息列表 > escaping

  • 允许在自定义元框中使用IFRAME

    时间:2014-09-20

    我已经创建了一个名为“Location Map”的自定义元框,并希望为客户端提供一个功能,只需复制粘贴位置的google Map的iframe嵌入代码,即可将其直接显示在前端。该值无法存储。下面是保存元框的代码。/* Save the meta box\'s post metadata. */ function kk_save_location_map( $post_id, $post ) { /* Verify the nonce before proceeding.

  • 如何以安全的方式显示发布的元数据

    时间:2014-11-12

    我有一个自定义的post元字段,可以在其中添加嵌入代码(例如,一个视频,一个iframe)。现在,我想从post meta中检索代码并安全地显示它。我可以这样显示它:$embed_code = get_post_meta($post->ID, \'my_embed_code\', true); echo $embed_code; 它工作正常并显示视频。但是如果我使用esc_html 例如:echo esc_html( $embed_code ); 它不起作用。它在页面上显

  • WP_EDITOR-将值保存到插件选项-剥离HTML

    时间:2014-12-04

    我有一个wp_editor(); 在我的插件设置页面上。我还启用了TinyMCE中的“字体大小”下拉列表。在中突出显示文本后wp_editor(); 并从编辑器的下拉菜单中选择字体大小,可以适当调整字体大小(直接在编辑器中)。但是,在使用保存我的插件设置后update_option(); 插件设置页面将重新加载。。。这个<span style=\"font-size: 18px;\">highlighted text</span> 已删除,只剩下“突出显示的文本”,没有span标记

  • 当术语具有特殊字符时转义WP_QUERY TAX_QUERY

    时间:2015-03-09

    这是我的问题。我有一个自定义的帖子类型,并将自定义分类附加到该类型。这种分类法允许管理员提供搜索建议,以确保在用户搜索时找到帖子。该分类法还用于前端,以使用这些建议自动完成搜索字段。系统工作正常,除非术语包含正斜杠、空格或其他“特殊”字符。<?php $keyword = \'Ski-in%2FSki-out\';//Submitted via $_GET $keyword = urldecode($keyword); // (string)\'Ski-in/Ski-out\'&#x

  • Add HTML to Term Description

    时间:2015-03-18

    我正在尝试添加(使用wp_editor ) 不带加号的HTML术语描述。每当我尝试吐出数据时,都会得到转义的HTML:&lt;strong&gt;test&lt;/strong&gt; 应该是<strong>test</strong>我试过了html_entity_decode() 但会带来意想不到的后果。。。<div class=\"\\&quot;big\">Test</div> 应该是<div class=

  • Using esc_attr_e

    时间:2015-04-25

    据我所知esc_attr_e 理想情况下用于转义属性中的值-使用esc_attr_e 也可以与非属性值一起使用,例如下面示例中的h3和label元素?<h3><?php esc_attr_e( \'Some Text\', \'my-plugin\' ); ?></h3> <form name=\"myplugin_form\" method=\"post\" action=\"\"> <i

  • 更新一篇帖子而不用转义和符号?

    时间:2015-04-27

    我发现了wp_update_post() 逃逸邮件中提供的所有符号post_content. 我正在尝试更新一篇帖子,但没有将符号转换为&amp;. (我需要向post_content 员额领域)。所以,我想找到一种方法wp_update_post() 禁用转义,或者替换另一个函数。一种方法是锻炼$wpdb 直接,但我宁愿不要,因为这似乎是我最后的选择。我所做的一个观察是,如果您使用“文本”视图通过管理界面编辑帖子,您可以成功地将符号添加到post\\u内容中,而无需将其转换为&amp

  • 包装添加查询参数时esc_url不起作用

    时间:2015-05-04

    我知道XSS问题与add_query_arg()作用这就是为什么我要用esc_url().问题是。。。这不适用于wp_remote_get().如果我去:$url = add_query_arg( array( \'email\' => \'[email protected]\', \'token\' => \'899A762614F6C49809A374FB955EC8C15\'), \'https://example.com/v3/transactions/notific

  • 在用户输出中使用什么来代替wp_kses()

    时间:2015-05-23

    我需要一些帮助。在开发主题时,我想确保没有安全问题。因此,所有动态数据都必须在呈现的上下文中正确转义。我知道如何逃避以下情况:如果属性中有“echo”,请使用esc_attr</如果类属性中有“echo”,请使用sanitize_html_class</如果“echo”为纯文本,请使用esc_html</如果翻译中出现“echo”,请使用esc_html__, esc_html_e, esc_attr_e, 等等,但有两个方面我不知道该怎么办。如果用户输出可能包含一些html标记,如“e

  • 什么是最安全的方式来输出管理员在主题设置中输入的自定义JavaScript和CSS代码?

    时间:2015-06-13

    我正在创建一个主题,在这个主题中,我为管理员创建了选项,以便在“主题设置”页面(使用options API创建)中输入自定义Javascript和Css代码。现在我不知道如何以最好的方式输出这段代码。对于我决定使用的Csswp_add_inline_style() 更新css文件,对于JavaScript,我只是在wp_footer() 标记,如下所示:if ( $custom_js != \'\' ) { ?> <script id=\"theme-custom-js\">

  • Escape html structure in php

    时间:2015-07-30

    我有这样的代码:<?php echo \'<div class=\"class-name\">\' . __( \'Text\',\'text-domain\' ) . \'</div>\'; ?> 在我的插件中。我一定要逃避吗?(esc\\u html或类似版本)?

  • 我是否需要在硬编码链接上使用esc_html()函数?

    时间:2018-01-04

    我理解使用某些WP函数时,如site\\u url();您应该使用esc\\u html()对这些内容进行转义;功能如下:<?php esc_html(site_url()) ?> 我的问题是,如果我在首页这样的模板文件中手动输入了站点url。php如下所示:<a href=\"//mysite.com\">My Site</a> 是否仍需要使用esc\\u html()函数?文档中没有提到任何关于这个用例的内容。如果是这样的话,我该怎么做呢?非常感

  • 您需要在哪些WP函数上使用esc_html()或esc_url()?

    时间:2018-01-06

    我遇到过人们使用esc_html() 或esc_url() 具有某些WP功能,如home_url(\'/\'). 示例位于<a> 链接回主页,例如:<a href=\"<?php echo esc_url( home_url( \'/\' ) ); ?>\"> 您如何知道哪些WP函数需要转义,如果您使用esc_html() 或esc_url()?任何建议或指导都会很好。

  • WP_QUERY不使用撇号搜索

    时间:2018-02-15

    我试图在WP\\U查询中搜索包含短语“道尔顿定律”的数据meta_query. 这是一个AJAX 搜索,下面是我正在做的://in this case $_POST[\'query\'] is the phrase \"Dalton\'s Law\" $query = apply_filters( \'get_search_query\', $_POST[\'query\'] ); $query = esc_html( $query ); $guide_meta

  • 在插入到数据库之前对数据进行转义/编码?

    时间:2018-03-05

    是一种正确的策略,在将数据放入数据库之前从不转义数据。我觉得我以前看到过这个引用,但现在找不到了,这并没有让我清楚:https://codex.wordpress.org/Validating_Sanitizing_and_Escaping_User_Data 出现此问题是因为我正在尝试搜索字段和a&;R变为A&amp;所以我有两个选择:我可以用HTML编码(esc_html) 搜索输入将字段插入数据库时,我无法对其进行HTML编码(仅在输出时转义/编码)我看到wp\\U帖子。post\\u

  • 添加到模板的逃逸帖子图像附件

    时间:2018-04-23

    在模板中使用wp\\u get\\u attachment\\u image()的安全方法是什么?

  • 转义和特殊字符(例如&)

    时间:2018-05-02

    我知道逃避所有输出是最好的做法。然而,当人们在内容中使用特殊字符时,我遇到了一些问题。e、 g.&;,–,等请注意,我使用的是木材,因此,例如,如果一篇文章标题使用了&;在文本中,我呼应并转义标题如下:{{ post.title|e() }}(不使用细枝<?php echo esc_html($post->title); ?>)页面显示htmlentity代码(即。&amp;) 并且它不会在浏览器中转换为符号。但是,如果我在没有转义的情况下回显,它将正确显示。我想也许

  • 我没有理解正确的准备。

    时间:2018-06-28

    我有一个在原始PHP中运行良好的查询,但我无法使用$wpdb运行。我似乎在提供的建议中遗漏了一些东西How do you properly prepare a %LIKE% SQL statement?我的代码是global $wpdb; // Create a SQL statement with placeholders for the string input. $sql3 = \"SELECT id, post_date, post_title, guid FROM $wpdb-&

  • 在满足WordPress PHPCS的同时翻译常量

    时间:2018-06-29

    以下方法有效,但不符合要求PHP Code Sniffer WordPress coding standards <?php esc_html_e( ADDRESS, \'wprig\' ); ?> 林特对我喊道:[WordPress.WP.I18n.nonsigularstringliteraltext]$text参数必须是单字符串文字,而不是“ADDRESS”。对于上述错误,以下操作也不起作用:<?php esc_html_e( (string)ADDRESS, \'wpr

  • 在使用SET_TRANSPENT之前,我必须序列化/清理/转义数组数据吗?

    时间:2018-07-21

    一切都有问题。对于在管理中显示警告/错误的通知系统,我使用了transient。当我发布第一个插件时,我收到一封电子邮件,要求我清理/验证/转义数据库中插入的数据,以便。。。我正在做一个函数来包装set_transient() 但我不确定在这种情况下是否有必要。Wordpress应该这样做。secure_set_transientfunction secure_set_transient( string $transient_name, $value ) { $f_transient_na