例如:
<p><?php echo $value; ?></p>
→ 用 esc_html():
<p><?php echo esc_html($value); ?></p>
理由:虽然值本身无标签,但 esc_html() 会过滤掉可能意外出现的 HTML 特殊字符(如 <、& 等),确保文本在标签内安全展示,符合 WordPress 编码规范。
例如:
<div data-id="<?php echo $value; ?>">内容</div>
→ 用 esc_attr():
<div data-id="<?php echo esc_attr($value); ?>">内容</div>
理由:esc_attr() 会重点处理引号、特殊符号,防止破坏属性结构(比如值中意外出现 " 导致属性提前闭合),即使现在值很 “干净”,这也是规范的防护措施。
即使值是 “确定的、无标签”,直接输出存在两个潜在风险:
- 未来数据变化:如果后续数据来源改变(比如从用户输入、第三方接口获取),可能引入恶意字符,此时未转义的输出会直接导致 XSS 漏洞。
- 编码规范:WordPress 官方强制要求所有动态数据输出必须经过转义(属于主题审核的必查项),直接输出会导致主题不兼容、不安全。
- 输出到文本内容区:用
esc_html()(即使值无标签,这是规范且安全的做法)。
- 输出到属性值:用
esc_attr()(专门处理属性场景的安全转义)。
- 绝对不要直接输出,即使数据看似 “安全”—— 防御性编程才能避免潜在风险。
