不喜欢。使用Ajax，把它放在HTML中的data-*属性中，或者其他有意义的东西中。使用内联脚本使您的页面更大，可能是不安全的或仍然允许用户破坏布局，除非… 你做了一个更安全的函数: 函数inline_json_encode($obj) { 返回(“< !大小写不敏感——”、“< \ !——“json_encode (obj美元)); }

Micah的解决方案如下工作为我的网站，我必须自定义不是在UTF-8，所以我不能使用json;我也想投票，但我的声望不够高。

function escapeJavaScriptText($string) 
{ 
    return str_replace("\n", '\n', str_replace('"', '\"', addcslashes(str_replace("\r", '', (string)$string), "\0..\37'\\"))); 
} 

用JSON编码

偏执版本:逃避每一个角色。

function javascript_escape($str) {
  $new_str = '';

  $str_len = strlen($str);
  for($i = 0; $i < $str_len; $i++) {
    $new_str .= '\\x' . sprintf('%02x', ord(substr($str, $i, 1)));
  }

  return $new_str;
}

编辑:为什么json_encode()可能不合适的原因是，有时，你需要防止“生成”，例如。

<div onclick="alert(???)" />

function escapeJavaScriptText($string)
{
    return str_replace("\n", '\n', str_replace('"', '\"', addcslashes(str_replace("\r", '', (string)$string), "\0..\37'\\")));
}

你可以试试

<script type="text/javascript">
    myvar = unescape('<?=rawurlencode($myvar)?>');
</script>