Saya bingung tentang perbedaan penggunaan esc_html()
dan wp_kses()
. Saya mengerti bahwa esc_html()
mengubah karakter khusus ke entitas HTML mereka, dan yang wp_kses()
menghapus tag yang tidak diinginkan (misalnya, <script>
), tetapi saya tidak yakin dalam konteks apa mereka harus digunakan bersama-sama atau secara terpisah.
Jika saya menjalankan beberapa HTML yang tidak tepercaya esc_html()
, maka setiap JavaScript akan ditampilkan dalam teks biasa daripada di-render oleh browser, jadi aman pada saat itu, benar? Satu-satunya alasan untuk menjalankannya wp_kses()
adalah untuk menghindari skrip mentah ditampilkan?
Pada dasarnya, esc_html()
membuatnya aman, dan wp_kses()
membuatnya cantik. Apakah itu benar?