<div dir="ltr">Correct.<div><br></div><div>And the same applies to custom Widgets. Untrusted data are untrusted data: whether Theme options, custom post meta, Widgets, or any other means of introducing untrusted data.</div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Jul 2, 2014 at 9:07 AM, Ola Łączek <span dir="ltr"><<a href="mailto:ola@bodera.com" target="_blank">ola@bodera.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">Hello!<div><br></div><div>If a theme uses meta boxes the same rules apply as with theme options - values should be sanitized on input and escaped on output, correct?</div><div><br></div><div>Best regards,</div>

<div>Ola Laczek</div></div>
<br>_______________________________________________<br>
theme-reviewers mailing list<br>
<a href="mailto:theme-reviewers@lists.wordpress.org">theme-reviewers@lists.wordpress.org</a><br>
<a href="http://lists.wordpress.org/mailman/listinfo/theme-reviewers" target="_blank">http://lists.wordpress.org/mailman/listinfo/theme-reviewers</a><br>
<br></blockquote></div><br></div>