O WordPress tem várias funções para preparar os dados. Cada vez quando o usuário preenche algum formulário no seu site, estes dados devem ser sanitizados e escapados. Vamos ver quais funções importantes nós temos para fazer isso. Podemos sanitizar os dados, ou seja limpar os dados para proteger o banco de dados com as seguintes funções.

• sanitize_email()
• sanitize_file_name()
• sanitize_html_class()
• sanitize_key()
• sanitize_meta()
• sanitize_mime_type()
• sanitize_option()
• sanitize_sql_orderby()
• sanitize_text_field()
• sanitize_title()
• sanitize_title_for_query()
• sanitize_title_with_dashes()
• sanitize_user()
• esc_url_raw()
• wp_filter_post_kses()
• wp_filter_nohtml_kses()

Também podemos escapar os dados com seguintes funções. As primeiras três servem para escapar o código html, e as últimas três servem para escapar os atributos dos tags.

• esc_html__()
• esc_html_e()
• esc_html_x()
• esc_attr__()
• esc_attr_e()
• esc_attr_x()

Mais uma função importantíssima e muito usada pelos desenvolvedores é wp_kses(), porém ela precisa de segunda parâmetro. O parâmetro é um array com atributos permitidos para essa função. Exemplo

$allowed_html = [
    'a'      => [
        'href'  => [],
        'title' => [],
    ],
    'br'     => [],
    'em'     => [],
    'strong' => [],
];
echo wp_kses( $custom_content, $allowed_html );