WordPressでHTMLが含まれる文字列はエスケープして表示する

WordPressで取得するデータは無害化して表示しておくことで、これまでより安心してWordPressを利用することができます。

エスケープに利用できる関数はversionによってもかなり異なるようです。
参考:データ検証

ひとまずは下記の3つを覚えてみます。

データを表示のみに利用する場合:esc_html

<?php echo esc_html( $text ) ?>

データを値として利用する場合:esc_attr

<?php $fname = esc_attr( $fname ); ?>

URL:esc_url

<?php echo esc_url( $url ); ?>

参考:WordPressで使うエスケープの関数について