De la entrada del Codex para Validación de datos: URL :
esc_url( $url, (array) $protocols =
null ) (desde 2.8)
Utilice siempre esc_url al desinfectar URL (en nodos de texto, nodos de atributos o en cualquier otro lugar). Rechaza las URL que no tienen uno de los protocolos incluidos en la lista blanca (por defecto a http, https, ftp, ftps, mailto, news, irc, gopher, nntp, feed y telnet), elimina los caracteres no válidos y elimina los caracteres peligrosos. En desuso desde 3.0: clean_url () Esta función codifica caracteres como entidades HTML: úsela al generar un documento (X) HTML o XML. Codifica símbolos de unión (&) y comillas simples (') como referencias de entidad numérica (&,').
esc_url_raw( $url, (array) $protocols
= null ) (desde 2.8)
Para insertar una URL en la base de datos. Esta función no codifica caracteres como entidades HTML: úsela cuando almacene una URL o en otros casos donde necesite la URL no codificada. Esta funcionalidad se puede replicar en la antigua función clean_url estableciendo $ context en db.
Entonces, las principales diferencias parecen ser:
esc_url()codifica entidades HTML, mientras esc_url_raw()que noesc_url()está destinado a la
salida , mientras que esc_url_raw()está destinado al almacenamiento de la base de datos
EDITAR:
Dado que está codificando (o guardando / almacenando por separado) la URL real de la cadena de consulta, y luego agrega la cadena de consulta a través de [add_query_arg()][2], ¿podría ser mejor escapar de su cadena de consulta adjunta en esc_js()lugar de esc_url()?
Por ejemplo:
add_query_arg( esc_js( 'apples' ), esc_js( '420' ), $myurl )
esc_url()no funciona correctamente cuando tiene argumentos de consulta en una URL que desea generaresc_js()para escapar solo de los datos agregados a través deadd_query_arg()? Ver editar en respuesta, arriba.apples. El problema está en add_query_arg cuando une 'manzanas' con otros argumentos con&<script type="text/javascript" src="<?= $_SERVER['REQUEST_URI'] ?>'/?javascriptcode=1"></script>