¿Se debería filtrar la salida de las funciones WP integradas, como get_permalink() y los complementos WP conocidos, como ACF (campos personalizados avanzados), como get_field() ?
Por ejemplo, get_permalink() llama a home_url() que llama a get_home_url() , ninguno de los cuales filtra los datos . De manera similar, el trabajo the_content() , the_title() y el resto de las funciones familiares relacionadas con Loop.
Por lo tanto, ¿es suficiente lo siguiente? ( no esc_attr() para las funciones WP y ACF )
<?php while ($wp_query->have_posts() && __return_true($wp_query->the_post()) ) : ?>
<a href="<?=get_the_permalink()?>">
<img src="<?=get_field('homepage_thumbnail')['sizes']['thumbnail']?>" />
</a>
<?php endwhile; ?>
¿O debería ser más cuidadoso con los datos provenientes del complemento? ( aviso esc_attr() agregado a la fuente de la imagen ACF, tercera línea )
<?php while ($wp_query->have_posts() && __return_true($wp_query->the_post()) ) : ?>
<a href="<?=get_the_permalink()?>">
<img src="<?=esc_attr(get_field('homepage_thumbnail')['sizes']['thumbnail']?>)" />
</a>
<?php endwhile; ?>
¿O debería ser súper cuidadoso incluso con las funciones WP de stock? ( aviso esc_attr() agregado a WP anchor href, segunda línea )
<?php while ($wp_query->have_posts() && __return_true($wp_query->the_post()) ) : ?>
<a href="<?=esc_attr(get_the_permalink())?>">
<img src="<?=esc_attr(get_field('homepage_thumbnail')['sizes']['thumbnail']?>)" />
</a>
<?php endwhile; ?>