it-swarm.com.de

Müssen Sie hartcodierten Klartext umgehen?

Ich habe angefangen, mit dem Starter-Thema "Unterstriche" zu spielen, und habe festgestellt, dass es esc_html_e() verwendet, auch bei einfachem Text:

<a class="skip-link" href="#content"><?php esc_html_e( 'Skip to content', '_s' ); ?></a>

Ist es ein Sicherheitsrisiko, sich nicht so zu entziehen:

<a class="skip-link" href="#content">Skip to content</a>

... oder ist es nur zum Zwecke der Übersetzung da?

Vielen Dank.

3
DesVal

Das Sicherheitsrisiko liegt hier nicht im Klartext, sondern in der Übersetzung. Sie sollten beachten, dass esc_html_e nicht nur eine Funktion zum Ausblenden von HTML ist, sondern auch zur Lokalisierung (l10n). Das heißt Andere Leute können diesen String übersetzen, aber Sie wissen nicht, wie die Übersetzung aussehen würde. Es ist möglich, dass jemand den String übersetzt und einen Link oder schädlichen HTML-Code hinzufügt. Deshalb ist es in diesem Fall besser, HTML zu umgehen.

4
obstschale