Przekazać łańcuch PHP do zmiennej JavaScript (i uciec od nowych linii) [duplikat]

Encode it with JSON

function escapeJavaScriptText($string)
{
    return str_replace("\n", '\n', str_replace('"', '\"', addcslashes(str_replace("\r", '', (string)$string), "\0..\37'\\")));
}

Miałem podobny problem i rozumiem, że następujące rozwiązanie jest najlepsze:

<script>
    var myvar = decodeURIComponent("<?php echo rawurlencode($myVarValue); ?>");
</script>

Jednak link , który opublikował micahwittman, sugeruje, że istnieją pewne niewielkie różnice w kodowaniu. Funkcja PHP rawurlencode() powinna być zgodna z RFC 1738 , podczas gdy wydaje się, że nie było takiego wysiłku w Javascript decodeURIComponent().

Wersja paranoiczna:

function javascript_escape($str) {
  $new_str = '';

  $str_len = strlen($str);
  for($i = 0; $i < $str_len; $i++) {
    $new_str .= '\\x' . sprintf('%02x', ord(substr($str, $i, 1)));
  }

  return $new_str;
}

EDIT: powodem, dla którego json_encode() może nie być właściwe jest to, że czasami trzeba zapobiec wygenerowaniu ", np.

<div onclick="alert(???)" />

<script>
var myVar = <?php echo json_encode($myVarValue); ?>;
</script>

Lub

<script>
var myVar = <?= json_encode($myVarValue) ?>;
</script>

Rozwiązanie Micah poniżej działało dla mnie, ponieważ strona, którą musiałem dostosować, nie była w UTF-8, więc nie mogłem użyć json; zagłosowałbym na nią, ale moja reputacja nie jest wystarczająco wysoka.

function escapeJavaScriptText($string) 
{ 
    return str_replace("\n", '\n', str_replace('"', '\"', addcslashes(str_replace("\r", '', (string)$string), "\0..\37'\\"))); 
} 

Htmlspecialchars

Opis

string htmlspecialchars ( string $string [, int $quote_style [, string $charset [, bool $double_encode ]]] )

Niektóre znaki mają szczególne znaczenie w HTML i powinny być reprezentowane przez encje HTML, jeśli mają zachować swoje znaczenia. Ta funkcja zwraca ciąg znaków z niektórych z tych konwersji wykonane; tłumaczenia wykonane są te najbardziej przydatne dla codziennego programowania web. Jeśli chcesz przetłumaczyć wszystkie encje znaków HTML, użyj metody htmlentities ().

Ta funkcja jest przydatna w zapobieganiu dostarczaniu przez użytkownika tekst zawierający znaczniki HTML, np. w tablicy ogłoszeń lub aplikacji księgi gości.

Wykonywane tłumaczenia to:

* '&' (ampersand) becomes '&'
* '"' (double quote) becomes '"' when ENT_NOQUOTES is not set.
* ''' (single quote) becomes ''' only when ENT_QUOTES is set.
* '<' (less than) becomes '&lt;'
* '>' (greater than) becomes '&gt;'

Http://ca.php.net/htmlspecialchars

Możesz wstawić go do ukrytego DIV, a następnie przypisać innerHTML DIV do zmiennej JavaScript. Nie musisz się martwić o ucieczkę. Tylko upewnij się, że nie umieszczasz tam zepsutego HTML.

Możesz spróbować]}

<script type="text/javascript">
    myvar = unescape('<?=rawurlencode($myvar)?>');
</script>

Nie uruchamiaj go jednak addslashes(); jeśli znajdujesz się w kontekście strony HTML, parser HTML nadal widzi znacznik </script>, nawet w połowie łańcucha, i zakłada, że jest to koniec JavaScript:

<?php
    $value = 'XXX</script><script>alert(document.cookie);</script>';
?>

<script type="text/javascript">
    var foo = <?= json_encode($value) ?>; // Use this
    var foo = '<?= addslashes($value) ?>'; // Avoid, allows XSS!
</script>

1. Nie. Użyj Ajax, umieść go w atrybutach data-* w HTML, lub coś innego znaczącego. Korzystanie ze skryptów wbudowanych powoduje, że strony są większe, a może być niebezpieczne lub nadal pozwala użytkownikom zniszczyć układ , chyba że ...

2. ... tworzysz bezpieczniejszą funkcję:

   function inline_json_encode($obj) {
       return str_replace('<!--', '<\!--', json_encode($obj));
   }
   

Nie jestem pewien, czy to zła praktyka, czy nie, ale mój zespół i ja używaliśmy mieszanego rozwiązania html, JS i php. Zaczynamy od ciągu PHP, który chcemy wciągnąć do zmiennej JS, nazwijmy go:

$someString

Następnie używamy na stronie ukrytych elementów formularza, a ich wartość ustawiamy jako ciąg znaków:

<form id="pagePhpVars" method="post">
<input type="hidden" name="phpString1" id="phpString1" value="'.$someString.'" />
</form>

Następnie jest to prosta sprawa definiowania js var poprzez dokument.getElementById:

<script type="text/javascript" charset="UTF-8">
    var moonUnitAlpha = document.getElementById('phpString1').value;
</script>

Teraz możesz użyć zmiennej JS "moonUnitAlpha" gdziekolwiek chcesz pobrać to PHP wartość łańcuchowa. Wygląda na to, że to działa naprawdę dobrze dla nas. Zobaczymy, czy wytrzyma intensywne użytkowanie.

Jeśli używasz silnika szablonów do konstruowania kodu HTML, możesz wypełnić go tym, co chcesz!

Sprawdź XTemplates . To ładny, otwarty, lekki silnik szablonów.

Twój HTML / JS wyglądałby tak:

<script>
    var myvar = {$MyVarValue};
</script>