WordPress でセキュリティを考える時に大事なのは文字列のエスケープです。ただ、エスケープの関数だけでもかなりの数がありややこしいので、よく使うものをまとめてみました。 前提知識 the_* 関数と get_* 関数の違い 基本的に the_ 関数は get_ 関数を echo しているだけですが、一部の関数ではエスケープされて出力されています。 ですので安全面を考えると、echo get_ は極力使わず、可能な限り the_ 関数を使うのが望ましいです。 the_ 関数を使えばエスケープは必要ありません (既にエスケープされているため)。 翻訳可能文字列 WordPress テーマを公式ディレクトリにアップロードする際には、すべての文字列が翻訳可能文字列になっていることが必須になっています。 基本的に翻訳可能な文字列は、__( 'example', 'slug' ) もしくは _e