我们在接收参数的时候，需要对接收的参数进行过滤，若不过滤将会产生注入数据的危险，在wordpress中已经帮我们封装好了对应的方法，可以直接拿过来使用，具体的方法和含有看下面：

esc_url()

用于过滤url可能会出现的地方，这个函数还有一定的处理url进入数据库的情况（当$_context为db时）

esc_js()

用于过滤输出点在js中的情况，转义” < > &，还会对换行做一些处理。

esc_html()

用于过滤输出点在html中的情况，相应的转义。

esc_attr()

用于过滤输出点在标签属性中的情况，相应的转义。

esc_textarea()

用于过滤输出点在textarea标签中的情况，相应的转义。

tag_escape()

用于出现在HTML标签中的情况，主要是正则。

当然还可以用php原生的写法，都是可以的。