Dal punto di vista della sicurezza, il blogInfo () o get_blogInfo () dovrebbe essere sfuggito?
Domanda
Ho esaminato molte informazioni sul tema WP e sulla sicurezza dei plug -in e ho capito il concetto che dovresti sfuggire agli attributi e ai valori HTML in temi e plugin. ho visto bloginfo()
e echo get_bloginfo()
usato sia standard che all'interno di un esc_html()
o esc_attr()
funzione.
Genesi e _S, Il tema di base di Automattic sfuggono sia a questi valori, ma la guida degli standard del tema del Codice di WP non dice nulla sulla fuga di questi valori. Ho esaminato il codice WP (wp-includes/option.php
) e sembra che ci sia una piccola sanificazione dei valori da cui sono passati get_option()
Ma sembra anche che ci sia un filtro che un plug -in potrebbe sovrascrivere per determinati valori.
È questo fatto che mi porta a pensare che dovrebbe essere fuggito. Qualcuno può illuminarmi su questo?
Nessuna soluzione corretta