web-dev-qa-db-ja.com

ウィジェットのオプションはwidget()をエスケープする必要がありますか?

(ウィジェットクラスから)widget()およびform()関数内でユーザーが送信したデータ(ウィジェットオプションフィールド)を本当にエスケープする必要があるかどうか私は思っていませんでしたか?

データがすでにupdate()関数でエスケープされている場合、これを実行する理由はわかりません。それとも私は何かが足りないのですか?

1
Alex

うーん、それはあなたの意味が何であれ、彼らはスラッシュではありません。

しかし、それらは間違いなくxssサニタイズされていません。信頼できないデータを扱う場合は、保存する前にksesを使用するか、表示されているesc_attr()を使用してください。

1