Sécurisation de la sortie(échappement)

Les variables et les options doivent être échappées lors de l’écho

Lorsque vous faites du développement vous devez toujours être sur vos gardes car sans sécurité votre code est exposé à de nombreuses attaques et cela venant de nombreuses sources ,De ce fait les données doivent être validées , désinfectées ou échappées en fonction de l’utilisation. Échapper signifie supprimer les données indésirables, sur ceux en notre position avant de les restituer à l’utilisateur final. WordPress a de nombreuses fonctions d’assistance que vous pouvez utiliser pour les scénarios les plus courants.

Dans les situations les plus courantes nous avons:

esc_attr() – À utiliser sur tout ce qui est imprimé dans l’attribut d’un élément HTML.

esc_html() – chaque fois que vous voulez afficher vos données dans un élément HTML

esc_url() – À utiliser sur toutes les URL, y compris celles des attributs src et d’un élément HTML .href

Et les autres fonction

  1. esc_js() – À utiliser pour le Javascript en ligne,
  2. esc_textarea() – Utilisez ceci pour encoder du texte à utiliser dans un élément textarea
  3. esc_url_raw() – Pour stocquer dune URL dans la base de données
  4. esc_url_raw() – Pour stocquer dune URL dans la base de données
  5. wp_kses () – À utiliser pour échapper en toute sécurité à tout code HTML non fiable (texte de publication, texte de commentaire, etc.).
  6. wp_kses_post () – Une version alternative de wp_kses()qui autorise automatiquement tout le code HTML autorisé dans le contenu de la publication.
  7. wp_kses_data() – Une version alternative de wp_kses()qui n’autorise que le code HTML autorisé dans les commentaires de publication.

ATTENTION!!: Vous devez connaître ce que fait chaque fonction, car certaines supprimeront le code HTML tandis que d’autres le permettront. Vous devez utiliser la fonction la plus appropriée au contenu et au contexte de ce que vous faites écho.

S’évader avec la localisation

Plutôt que d’utiliser “echo” pour générer des données, Vous pouvez ‘utiliser les fonctions de localisation de WordPress, telles que e()ou _().

Ces fonctions enveloppent simplement une fonction de localisation dans une fonction d’échappement :

Ces fonctions d’assistance combinent localisation et échappement :
esc_html__() , esc_html_e() , esc_html_x() , esc_attr__() , esc_attr_e() , esc_attr_x()

Références: https://wordpress.org/

Leave a Comment

FR