エスケープ関数（esc_html、esc_urlなど）の使い方を解説【WordPress】

いちばんよく使うエスケープ関数です｡
HTMLタグに使う記号がそのまま表示されないように文字参照(HTMLエンティティ)に変換します｡

<p><?php echo esc_html( $text ); ?></p>

URLを表示する場合に使うエスケープ関数です｡
HTMLに使うリンクのURLや画像パスで使います｡
WordPress内ページのURLをテンプレートファイルで使う場合はhome_urlはかなり使います｡

<a href="<?php echo esc_url( home_url() ); ?>">ホーム</a>

HTMLタグのURL以外の属性に使うエスケープ関数です｡
はじめのころはesc_htmlとの使い分けがよくわかっていませんでしたが､今はしっかり使い分けるようにしています｡
$_POSTや$_GETで取得する値は､悪意のある人が異常な値を入力する可能性があるので､エスケープが特に重要です｡

<input type="text" valu="<?php echo esc_attr( $_POST["text"]; );  ?>">

JavaScriptのエスケープ関数です｡

※日本語の関数リファレンスページもないです｡

データベースで使うSQLのエスケープ関数です｡

フォームのテキストエリアのエスケープ関数です｡

関数名が「the_」ではじまる関数は､これを書くだけで出力される関数で､すでにエスケープ処理がされています｡
なので､この関数をカスタマイズで使うときにはエスケープ関数を使わず､そのまま書けば大丈夫です｡
エスケープ関数をつけてしまっても問題にはならないと思いますが､二重エスケープになるのであまりよい書き方ではないです｡

<time><?php the_date(); ?></time>

//2020年6月6日

関数名が「get_the_」ではじまる関数は､エスケープ処理がされていません｡
ただ､単純にエスケープ処理をして「get_the_」を使うのであれば「the_」の関数を使えばいいです｡
「get_the_」を使う場面としては､この関数で取得したタイトルや日付やidを使って別の処理に使うということになります｡
その処理をしてできた値をエスケープ処理をして表示させることになります｡

<time><?php echo esc_html( get_the_date('Y.m.d') ); ?></time>

//2020.06.06