Hocam şimdiye kadar hiç denemediğim bir çılgınlık bu. Python çok severim hatta wordpress keşke default olarak python kullandığı bir sürümü sunsa.
Hani kesin şu olur, bu olur asla diyemem; buradaki kimse diyemez. Ama şöyle bir örnek vereyim, atıyorum themeforest ile olan tecrübelerimde şöyle durumlar yaşadım.

2 string wordpress'den geliyor.
1)

$ev = home_url();

2)

$comment_id = $commentID;

$comment = get_comment( $comment_id );

$comment_yazar_id = intval($comment -> user_id);

$yazar_adi = get_user_by('id',$comment_yazar_id);
$yazar_adi = $yazar_adi->user_nicename;

url olarak çağırılan string

$yazar_url = $ev . "/yazar" . $yazar_adi
<a href="<?php echo $yazar_url; ?>".....>

buradaki $yazar_url'yi neden esc_url() betiği ile çağırmadığım soruluyor ve bu sebeple temaya soft rejection atılıyor. Skalayı bu seviyede sıkı tutuyorlar. Aslında dönüp bakınca gelen tün stringler wordpress'in kendi güvenli wpdb->prepare kullanan ve içi null olamayacak fonksiyonlarından dönüyor. Yani bu url'nin manipüle edilmesi için bir yol yok. Ama yine de oraya bir esc_url() istiyorlar yoksa temayı yayınlayamazsın diyorlar.

Keza wpdb->prepare sorgusu çevirmek bazen yorucu geliyor ve sorgu içindeki değerlerin hepsi integer. E ben buradaki stringleri intval() ile sorguya geçersem yine bir sql injection imkanı yok (eğer ki stringlerin 0 olması bir problem doğurmuyorsa). Ama ona da red basıyorlar.

Size neler yaşatırlar bilemiyorum.