wordpress エスケープ esc_url esc_html esc_attr wp_kses_post

 

http://morilog.com/wordpress/tips/wp_escape/

 

  • テキストは、esc_html関数でエスケープする
  • HTMLは、セキュリティリスクに応じてwp_kses_post関数でリスクの高いタグを除去する(カスタムフィールドでは必ず行う)
  • テキストエリアは、esc_textarea関数でエスケープする
  • HTMLの属性値は、esc_attr関数でエスケープする
  • URLは、esc_url関数で無害化する
  • URL内の文字列は、urlencode関数でエスケープする
  • カスタムフィールドをechoする際には、必ずエスケープや無害化を行う

こんな感じ

<a href="<?php echo esc_url(get_home_url()) ?>"><img src="<?php echo esc_url( get_theme_mod( 'vogue-header-menu-image' ) ); ?>" alt="ec" height="48px" /></a>
<img src="<?php echo esc_url( get_bloginfo('stylesheet_directory') ) ?>/images/visacard.png" />

Leave a Reply

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です