Estoy confundido acerca de los diferentes usos de esc_html()
y wp_kses()
. Entiendo que esc_html()
convierte caracteres especiales en su entidad HTML, y que wp_kses()
elimina las etiquetas no deseadas (por ejemplo, <script>
), pero no estoy seguro de en qué contextos deben usarse juntos o por separado.
Si ejecuto un código HTML que no sea de confianza esc_html()
, entonces cualquier JavaScript se mostrará en texto plano en lugar de ser procesado por el navegador, por lo que es seguro en ese punto, ¿correcto? ¿La única razón para ejecutarlo también wp_kses()
sería evitar que se muestre el script sin formato?
Básicamente, lo esc_html()
hace seguro y lo wp_kses()
hace bonito. ¿Es eso correcto?
fuente