Je suis confus quant aux différentes utilisations de esc_html()
et wp_kses()
. Je comprends que esc_html()
convertit les caractères spéciaux en leur entité HTML, et cela wp_kses()
supprime les balises indésirables (par exemple, <script>
), mais je ne sais pas dans quels contextes ils doivent être utilisés ensemble ou séparément.
Si j'exécute du HTML non fiable esc_html()
, alors tout JavaScript sera affiché en texte brut plutôt que rendu par le navigateur, il est donc sûr à ce stade, n'est-ce pas? La seule raison de l'exécuter également wp_kses()
serait d'éviter d'afficher le script brut?
Fondamentalement, le esc_html()
rend sûr et le wp_kses()
rend joli. Est-ce exact?
la source