Estoy confundido acerca de los diferentes usos de esc_html()
y wp_kses()
. Entiendo que esc_html()
convierte caracteres especiales a su entidad HTML, y que wp_kses()
elimina las etiquetas no deseadas (por ejemplo, <script>
), pero no estoy seguro en qué contextos deben usarse juntas o por separado.
Si ejecuto un poco de HTML no confiable a través de esc_html()
, entonces cualquier JavaScript se mostrará en texto sin formato en lugar de ser procesado por el navegador, por lo que es seguro en ese momento, ¿correcto? La única razón para ejecutarlo también a través de wp_kses()
sería para evitar que se muestre el script sin formato.
Básicamente, esc_html()
lo hace seguro, y wp_kses()
lo hace bonito. ¿Es eso correcto?