Avez-vous besoin d'échapper au texte brut codé en dur?
J'ai commencé à jouer avec le thème de démarrage Underscores et j'ai remarqué qu'il utilise esc_html_e() même en texte brut:
<a class="skip-link" href="#content"><?php esc_html_e( 'Skip to content', '_s' ); ?></a>
Est-ce un risque pour la sécurité de ne pas y échapper comme ceci:
<a class="skip-link" href="#content">Skip to content</a>
... ou est-ce seulement pour la traduction?
Merci.
Le risque de sécurité ici ne concerne pas le texte brut mais la traduction. Notez que esc_html_e n’est pas seulement une fonction permettant d’échapper à HTML, mais également de localiser (l10n). C'est à dire. d'autres personnes peuvent traduire cette chaîne, mais vous ne savez pas quelle sera la traduction. Il est possible que quelqu'un traduise la chaîne et ajoute un lien ou du code HTML malveillant. Par conséquent, il vaut mieux éviter HTML dans ce cas.