Почему я должен использовать URL-адрес esc?

Что ж, весь пользовательский ввод должен быть очищен... Если URL, который вы вводите, не является пользовательским вводом (например, настройка сайта кем-то, кому вы полностью доверяете, жестко заданные значения), вы можете отказаться от esc-url.

Но если бы я мог ввести этот URL на ваш сайт, я мог бы легко ввести код js или код перенаправления... или даже код на стороне сервера в некоторых ситуациях.

Это может привести к захвату сеанса, краже учетных записей ваших пользователей и другим плохим вариантам.

Изменить:

В ваш пример esc_url( home_url( '/' ) );
он работал с полужестким значением! поэтому esc_url можно исключить.
Тем не менее, я все еще не понимаю, зачем беспокоиться о различиях между тем, когда есть угроза, и когда ее нет, и, как правило, предлагаю сохранить esc_url() для каждого значения.

Еще кое-что нужно держать в голове о esc_url() означает что-то вроде <a href="SANITIZE_THIS_URL">your_text</a>. если вы собираетесь использовать URL-адрес в выводе HTML, например атрибут href для ссылки или атрибут src для элемента изображения, вам следует использовать esc_url().

esc_url_raw() это для других случаев, когда вам нужен чистый URL-адрес, но вы не хотите, чтобы HTML-объекты были закодированы. Таким образом, любое использование, не связанное с HTML (БД, перенаправление), будет использовать это.

Функция esc_url_raw() будет делать почти то же самое, что и esc_url(), но она не будет декодировать сущности, что означает, что он не заменит & на & и так далее. Как отметил Марк, безопасно использовать esc_url_raw() в запросах к базе данных, перенаправлениях и функциях HTTP, таких как "wp_remote_get()" для получения дополнительной информации о esc_url_raw()

Esc_url используется для создания допустимого HTML-кода (не для очистки ввода). Вы должны использовать это в любое время, когда вы не на 100% уверены, что то, что вы хотите вывести, является допустимым HTML для этого контекста.