<div dir="ltr">Escaping is usually left to the developer because you need to escape differently for different situations. For instance, there are two different URL escaping functions, `esc_url()` (used for printing in HTML) and `esc_url_raw()` (used for saving to the db), which should be used for different purposes. Because the `get_` functions don't know how you are using the data, they are generally not escaped. The `the_` functions are escaped and have to be because they echo output instead of returning it. There is no way for you to escape it unless you were to use output buffering, which is awkward in that situation.<div>
<br></div><div>I would also highly encourage you to look at core code when in doubt. You will usually be able to see clearly if a function is escaping output or not. Furthermore, if you are not sure, you are usually better off escaping the data. Escaping it twice would obviously add more overhead (in most cases a non-significant amount), but is likely a reasonable trade off for better security.</div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Aug 29, 2014 at 9:51 PM, Emil Uzelac <span dir="ltr"><<a href="mailto:emil@uzelac.me" target="_blank">emil@uzelac.me</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div class="gmail_default"><font face="courier new, monospace">esc_url</font><span style="font-family:arial,helvetica,sans-serif"> will check first and clean when needed: <a href="https://core.trac.wordpress.org/browser/tags/3.9.2/src/wp-includes/formatting.php#L2875" target="_blank">https://core.trac.wordpress.org/browser/tags/3.9.2/src/wp-includes/formatting.php#L2875</a>. </span></div>

<div class="gmail_default"><span style="font-family:arial,helvetica,sans-serif"><br></span></div><div class="gmail_default"><span style="font-family:arial,helvetica,sans-serif">Related and also to append on my previous messages: </span><font face="arial, helvetica, sans-serif"><a href="https://core.trac.wordpress.org/changeset/23527/trunk" target="_blank">https://core.trac.wordpress.org/changeset/23527/trunk</a></font></div>

<div class="gmail_default"><font face="arial, helvetica, sans-serif"><br></font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">See: </font></div><div class="gmail_default"><ul><li><span style="font-family:arial,helvetica,sans-serif"><a href="https://core.trac.wordpress.org/ticket/20771" target="_blank">https://core.trac.wordpress.org/ticket/20771</a></span><br>

</li><li><span style="font-family:arial,helvetica,sans-serif"><a href="http://codex.wordpress.org/Data_Validation" target="_blank">http://codex.wordpress.org/Data_Validation</a></span><br></li></ul><div><font face="arial, helvetica, sans-serif"><br>

</font></div><div><font face="arial, helvetica, sans-serif">Otto or Justin are more suitable to answer in details :)</font></div><div><br></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote"><div><div class="h5">
On Fri, Aug 29, 2014 at 10:54 PM, Dane Morgan <span dir="ltr"><<a href="mailto:dane@danemorganmedia.com" target="_blank">dane@danemorganmedia.com</a>></span> wrote:<br>
</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5">

<div bgcolor="#FFFFFF" text="#000000">Is there a list somewhere 
of what is an is not escaped?<br>
<br>
What happens if you escape something that is already escaped? Nothing 
horrible, right?<div><br>
<br>
Zack Tollman wrote:
<blockquote type="cite">It's SO not escaped.</blockquote>
<br>
</div><span><font color="#888888"><div>-- <br>
<div>Sent with <a href="http://www.getpostbox.com" target="_blank"><span style="color:rgb(51,102,153)">Postbox</span></a></div></div>
</font></span></div>
<br></div></div><div class="">_______________________________________________<br>
theme-reviewers mailing list<br>
<a href="mailto:theme-reviewers@lists.wordpress.org" target="_blank">theme-reviewers@lists.wordpress.org</a><br>
<a href="http://lists.wordpress.org/mailman/listinfo/theme-reviewers" target="_blank">http://lists.wordpress.org/mailman/listinfo/theme-reviewers</a><br>
<br></div></blockquote></div><br></div>
<br>_______________________________________________<br>
theme-reviewers mailing list<br>
<a href="mailto:theme-reviewers@lists.wordpress.org">theme-reviewers@lists.wordpress.org</a><br>
<a href="http://lists.wordpress.org/mailman/listinfo/theme-reviewers" target="_blank">http://lists.wordpress.org/mailman/listinfo/theme-reviewers</a><br>
<br></blockquote></div><br></div>