Kama и campusboy3 года назад10 EN

esc_attr() │ WP 2.8.0

Преобразует знаки " ' < > & в html сущности. Не создает двойного преобразования.

Функция предназначена для фильтрации строки, которую планируется выводить в значениях html атрибутов.

Работает на основе: _wp_specialchars()

Основа для: esc_attr_e(), esc_attr__()

1 раз — 0.000001 сек (скорость света) | 50000 раз — 0.17 сек (очень быстро) | PHP 7.2.5, WP 4.9.8

Хуки из функции

attribute_escape

Возвращает

Строку. Очищенную для использования в атрибуте HTML тега строку.

Использование

<?php echo esc_attr( $text ) ?>

$text(строка) (обязательный): Текст, который нужно преобразовать.

Примеры

#1 Пример очистки JSON данных

$qargs = [
	'per_page'      => 50,
	'orderby'       => [ 'volume_usd' => 'desc' ],
	'target_symbol' => 'foo',
];

$json = json_encode( $qargs );

$esc = esc_attr( $json );

echo htmlspecialchars( $esc );

// Выведет:
// {&quot;per_page&quot;:50,&quot;orderby&quot;:{&quot;volume_usd&quot;:&quot;desc&quot;},&quot;target_symbol&quot;:&quot;foo&quot;}

#2 Пример использования:

Примеры обработки значений:

var_dump( esc_attr( '0' ) );   // string(1) "0"
var_dump( esc_attr( 123 ) );   // string(3) "123"
var_dump( esc_attr( false ) ); // string(0) ""
var_dump( esc_attr( null ) );  // string(0) ""
var_dump( esc_attr( '' ) );    // string(0) ""
var_dump( esc_attr( '   ' ) ); // string(3) "   "
var_dump( esc_attr( [] ) );    // string(5) "Array" Notice: Array to string conversion in ...

$text = "<span>(тег) '(кавычка) \"(двойная кавычка) &(амперсанд)";
echo esc_attr( $text );

// Вернет:
// &lt;span&gt;(тег) &#039;(кавычка) &quot;(двойная кавычка) &amp;(амперсанд)

#3 Пример учета двойного кодирования:

$text = "&gt; and &amp;";
echo esc_attr( $text );         // &gt; and &amp;
echo htmlspecialchars( $text ); // &amp;gt; and &amp;amp;

#4 Пример очистки данных на выходе

<?php $fname = ( isset( $_POST['fname'] ) ) ? $_POST['fname'] : ''; ?>
<input type="text" name="fname" value="<?php echo esc_attr( $fname ); ?>">

Список изменений

С версии 2.8.0

Введена.

Код `esc_attr() esc attr` ^{WP 6.8.1}

wp-includes/formatting.php

function esc_attr( $text ) {
	$safe_text = wp_check_invalid_utf8( $text );
	$safe_text = _wp_specialchars( $safe_text, ENT_QUOTES );
	/**
	 * Filters a string cleaned and escaped for output in an HTML attribute.
	 *
	 * Text passed to esc_attr() is stripped of invalid or special characters
	 * before output.
	 *
	 * @since 2.0.6
	 *
	 * @param string $safe_text The text after it has been escaped.
	 * @param string $text      The text prior to being escaped.
	 */
	return apply_filters( 'attribute_escape', $safe_text, $text );
}

10 комментариев

Виталий

Здравствуйте! Подскажите, пожалуйста, как потом преобразовать HTML-сущности обратно в знаки при выводе?

-1

11.3 года назад #
- Виталий
  
  Нашел ответ. Возможно, это детский сад, но вдруг пригодится кому-нибудь.
  Функция html_entity_decode() преобразует HTML сущности в символы.
  
  2
  
  11.3 года назад #
Максим

Здравствуйте! Подскажите, а есть возможность отменить форматирование внутри этой функции? Так как эта функция часто используется в движке, можно было конечно подправить файлы движка и в нужном месте сделать вывод без нее, но не хотелось бы трогать файлы движка, а если и трогать, то после обновления CMS, все равно все надо будет менять заново)

-1

10.8 лет назад #
- Kama 9855
  Отменять работу этой функции не рекомендую. В некоторых случаях где это необходимо можно использовать фильтр attribute_escape:
```
function my_funcion( $text, $original_text ){
	// проверка, точно ли нужно оставить оригинал текста
	// например, оставим оригинал для страниц постов
	if( $post->post_type == 'post' )
		return $save_text;

	return $original_text;
}
add_filter('attribute_escape', 'my_funcion', 10, 2);
```
  0
  
  10.8 лет назад #
  - Максим
    
    Не совсем понял, как использовать эту функцию, про attribute_escape WPCodex пишет что она устаревшая. Можно поподробнее?
    
    0
    
    10.8 лет назад #
    - Kama 9855
      
      Тут ответил: http://wp-kama.ru/function/comment_form/comment-page-1#comment-7735
      
      0
      
      10.8 лет назад #
campusboy 5000 youtube.com/c/wpplus
Учусь делать настройки в теме и сохраняю значения поля кодом:
```
$num_elements = esc_attr($_POST["num_elements"]);
update_option("theme_name_num_elements", $num_elements);
```
В этом поле нужно вводить только цифры, будет ли правильным заменить esc_attr на int. И вообще, способно ли int обезопасить от всякой чернухи, когда в поле надо вводить только цифры?
0

9.9 лет назад #
- Kama 9855
  
  Да (int), intval() - отличное средство, быстрое и надежное! Если переменная - число, пользуйся ими, забудь про esc_*
  
  2
  
  9.9 лет назад #
Иван 48

Не могу допонять разницу между esc_attr__ и esc_html__. По сути делают одно и то же с тем же количеством знаков $"'<>, превращая их в html-код.

Пожалуй, разница в том, где их использовать, но я этого не вижу. Как понять: "Возвращает очищенную для использования в атрибуте HTML тега строку." Чо за атрибут HTML-тега? Типа: <a href="тутчтоли">? А вторая функция разве так не может, ведь тоже превращает?

0

5.9 лет назад #
- Kama 9855
```
esc_attr__() для <a href="тутчтоли">

esc_html__() для просто вывода на экран (не в атрибутах). Если её юзать вместо 
esc_attr__(), то в некоторых случаях значение атрибута может сломать HTML конструкцию (например когда в значении есть кавычка " или ').
```
  1
  
  5.9 лет назад #