¿Cuándo usar esc_html y cuándo usar sanitize_text

Parece que hacen casi el mismo tipo de trabajo. Entonces...

¿Cuándo debo usar en esc_html()lugar de sanitize_text_field()?

security sanitization

— si hombre
fuente

esc_html() es más o menos sin pérdidas: simplemente convierte el marcado HTML en texto visible codificado, para que el navegador no lo represente como marcado.

Semánticamente es un escape , por lo que está destinado a usarse para que la salida a la página sea segura.

sanitize_text_field()sin embargo, en realidad elimina todo el marcado HTML, así como espacios en blanco adicionales. No deja nada más que texto sin formato.

Semánticamente es desinfectante , por lo que está destinado a usarse para hacer que las entradas se guarden de forma segura.

— Rarst
fuente

¿No es mejor usar esc_html tanto para la salida como para guardar? No mostraré ningún marcado de todos modos ... entonces, ¿cuándo usaría sanitize_text_field ()?

— sí,

@yeahman "mejor" ¿cómo? Están haciendo cosas claramente diferentes. Desechar el marcado generalmente se usa para cosas donde no se espera el marcado, por ejemplo, un formulario que toma un nombre.

— Rarst

Quiero decir que almacena lo que el usuario ve y tiene entrada ... como dijiste que no tiene pérdidas ... (por ejemplo, ingresa "la etiqueta <head> es donde debes incluir tus archivos css", espera ver la <head> en su puesto). Para un campo de nombre, controlaría la entrada mediante validación; ¿No es más adecuado?

— sí,

Estoy interesado en las diferencias entre sanitize_text_field()ystrip_tags

— myol

strip_tags se usa en sanitize_text_field () si no me equivoco

— hombre

¿Cuándo usar esc_html y cuándo usar sanitize_text_field?