Soll der Wert der corefunktionen vor der Ausgabe maskiert werden?

Soll der Wert von functionen wie the_permalink() vor der Ausgabe an den Browser the_permalink() werden? Muss ich zum Beispiel Folgendes fliehen?

 <a href="https://wordpress.stackexchange.com/questions/230787/should-the-value-of-core-functions-be-escaped-before-outputting/">Link text 

Ich bin mir bewusst, dass ich von Benutzern eingereichte Daten usw. umgehen sollte, aber ist es sicher anzunehmen, dass WordPress Daten in corefunktionen wie diesem bereits entgangen ist?

Die Lösung könnte das sein:

 <a href="https://wordpress.stackexchange.com/questions/230787/should-the-value-of-core-functions-be-escaped-before-outputting/">Link text 

Aber warum sollte ich das tun, wenn WordPress bereits die Daten stromaufwärts entkommen ist?

Solutions Collecting From Web of "Soll der Wert der corefunktionen vor der Ausgabe maskiert werden?"

Der Codex sagt :

Es ist wichtig zu beachten, dass die meisten WordPress-functionen die Daten korrekt für die Ausgabe vorbereiten, und Sie müssen nicht erneut entkommen.

Zum Beispiel entkommt the_permalink() bereits die Ausgabe mit:

 echo esc_url( apply_filters( 'the_permalink', get_permalink( $post ), $post ) ); 

also musst du das hier nicht selbst tun. Aber die function get_the_permalink() tut nicht:

 return get_permalink( $post, $leavename ); 

Die function get_permalink() funktioniert auch nicht:

 return apply_filters( 'post_link', $permalink, $post, $leavename ); 

Sie sind keine spezifischen Anzeigefunktionen.

WordPress verwendet Filter rund um die Codebasis, damit Themes und Plugins die Ausgabe verschiedener corefunktionen anpassen können. Hier sind einige mögliche (Randfall) Beispiele:

 add_filter( 'post_link', function( $link ) { return get_option( 'some_url' ); }, PHP_INT_MAX ); 

oder auch:

 add_filter( 'post_link', function( $link ) { return get_post_meta( 1, 'some_url, true ); }, PHP_INT_MAX ); 

Wenn wir also die Ausgabe von get_permalink() direkt anzeigen, sollten wir es mit z

 ... 

Aber im Allgemeinen denke ich, es wäre besser, der Ausgabe einer corefunktion zu entkommen, wenn wir nicht wissen, wie sie damit umgehen soll, aber es sollte nicht zu viel Arbeit sein, es einfach zu überprüfen.