Я использую Timber / Twig для WordPress, и PHPCS выполняет проверку для неэкранированного вывода. Однако вывод происходит в файлах .twig, поэтому неэкранированный вывод не помечается. Я посмотрел на twigcs , но похоже, что больше о форматировании, чем о безопасности.
Есть ли инструмент, который пометит это для меня:
ПЛОХО: <p>Hi, my name is {{ user.firstname }}</p>
ХОРОШО: <p>Hi, my name is {{ user.firstname|e('html')}}</p>
Я знаю, что есть опция автоматического выхода, но в настоящее время это нереальное решение.