保護輸出是轉義輸出數據的過程。 轉義意味著剝離不必要的數據，如格式不正確的HTML或腳本標簽。 無論何時渲染數據，請確保正確地釋放數據。 轉義輸出可以防止XSS（跨站點腳本）攻擊。 >[warning] 注意：跨站點腳本（XSS）是通常在Web應用程序中發現的一種計算機安全漏洞。 XSS使攻擊者將客戶端腳本注入由其他用戶查看的網頁。 攻擊者可能會使用跨站點腳本漏洞繞過諸如同源策略的訪問控制。 ## 逃避 轉義有助于在為最終用戶呈現數據之前保護您的數據。 WordPress有一些幫助功能，您可以用于大多數常見的場景。 - esc_html（） - 當HTML元素包含顯示的數據部分時，可以使用此功能。 - esc_url（） - 對所有URL使用此功能，包括HTML元素的src和href屬性中的URL。 - esc_js（） - 將此函數用于內聯JavaScript。 - esc_attr（） - 將此函數用于打印到HTML元素屬性中的所有內容。 >[warning] 警報：大多數WordPress功能正確準備數據進行輸出，因此您不需要再次轉義數據。 例如，您可以安全地調用the_title（）而不轉義。 ## 隨著本地化逃脫 而不是使用echo來輸出數據，通常使用WordPress本地化函數，如`_e（）`或`__（）`。 這些函數只是將定位函數包含在轉義函數中： ``` esc_html_e( 'Hello World', 'text_domain' ); // same as echo esc_html( __( 'Hello World', 'text_domain' ) ); ``` 這些幫助函數結合本地化和轉義： - esc_html__() - esc_html_e() - esc_html_x() - esc_attr__() - esc_attr_e() - esc_attr_x() ## 自定義轉義 在需要以特定方式轉義輸出的情況下，函數wp_kses（）（發音為“kisses”）將派上用場。 此功能確保只有指定的HTML元素，屬性和屬性值才會在輸出中出現，并對HTML實體進行規范化。 ``` $allowed_html = [ 'a' => [ 'href' => [], 'title' => [], ], 'br' => [], 'em' => [], 'strong' => [], ]; echo wp_kses( $custom_content, $allowed_html ); ``` wp_kses_post（）是wp_kses的包裝函數，其中$ allowed_html是一組由帖子內容使用的規則。 ``` echo wp_kses_post( $post_content ); ```