您在输出时逃逸，我怀疑在逃逸清理和验证之间存在混淆

• Sanitise 数据到达时。这会去除不应该存在的内容，例如小写字符串中的大写字母、电话号码中的单词和字母、尾随空格等。清理清理数据常见的清理功能包括trim, sanitize_key, wp_strip_tags, intval, wp_kses_post, etcValidate 数据一旦被清理干净。那个电话号码真的是电话号码吗？有人说是吗-20 岁为什么那个男人的地址描述了奶酪糊的配方如果未验证，则拒绝数据。如果有，则处理并存储该值is_numeric, 检查字符串长度，is_email, 等等，验证通常需要特定于上下文的检查，例如强制值位于某个范围内，或者它们出现在白名单数组中Escape 将保存的数据输出到前端时。在输出时，只执行一次。不要在函数中返回复杂的HTML片段，要回显它们，并在回显时转义。如果不安全的东西通过，转义可能会破坏输出，但它保证URL始终是URL，即使它是一个损坏的URL，文本始终是文本，即使它包含危险的标记，等等转义函数包括但不限于esc_html, esc_attr, esc_url, wp_kses_post, etc请注意，当数据从外部来源（如浏览器）传入时，会进行清理和验证。

  将数据发送到API/用户/浏览器时会发生转义。逃避就像一把饼干刀，它能强化人们的期望。如果变量包含HTML属性，esc_attr 将确保它是一个属性，并且不包含任何对属性无效的内容，即使这意味着要修改值以使其适合，删除位。当然，如果已正确转义，则永远不会损坏有效值。

  请注意，如果多次转义某个值，则在某些情况下，可能会允许精心编制的数据爆发并呈现恶意输出。这就是为什么您只能在输出时逃逸，而且总是尽可能晚。预先逃逸的数据带来了一个头疼的问题，那就是必须跟踪哪些已经逃逸，哪些还没有逃逸，难道没有人有时间这么做吗。

  对于逃避，信任是不必要的，当你可以强迫它安全时，你永远不应该相信它是安全的。