将PHP字符串编码输出到JavaScript变量的最简单方法是什么?

我有一个PHP字符串,其中包括引号和换行。我需要将这个字符串的内容放入一个JavaScript变量中。

通常,我只会在一个PHP文件中构造我的JavaScript, à la:

<script>
  var myvar = "<?php echo $myVarValue;?>";
</script>

但是,当$myVarValue包含引号或换行符时,这就不起作用了。


当前回答

不喜欢。使用Ajax,把它放在HTML中的data-*属性中,或者其他有意义的东西中。使用内联脚本使您的页面更大,可能是不安全的或仍然允许用户破坏布局,除非… 你做了一个更安全的函数: 函数inline_json_encode($obj) { 返回(“< !大小写不敏感——”、“< \ !——“json_encode (obj美元)); }

其他回答

扩展别人的回答:

<script>
  var myvar = <?php echo json_encode($myVarValue); ?>;
</script>

使用json_encode()需要:

PHP 5.2.0或更高版本 $myVarValue编码为UTF-8(当然也可以是US-ASCII)

由于UTF-8支持完整的Unicode,因此动态转换应该是安全的。

注意,因为json_encode转义正斜杠,即使包含</script>的字符串也会被安全转义,以便使用脚本块打印。

不要通过addslashes()运行它;如果你在HTML页面的上下文中,HTML解析器仍然可以看到</script>标签,甚至在字符串中间,并假设它是JavaScript的结束:

<?php
    $value = 'XXX</script><script>alert(document.cookie);</script>';
?>

<script type="text/javascript">
    var foo = <?= json_encode($value) ?>; // Use this
    var foo = '<?= addslashes($value) ?>'; // Avoid, allows XSS!
</script>

我曾经遇到过类似的问题,我认为以下是最好的解决方案:

<script>
    var myvar = decodeURIComponent("<?php echo rawurlencode($myVarValue); ?>");
</script>

然而,micahwittman发布的链接表明存在一些小的编码差异。PHP的rawurlencode()函数应该符合RFC 1738,而Javascript的decodeURIComponent()似乎没有这样的努力。

偏执版本:逃避每一个角色。

function javascript_escape($str) {
  $new_str = '';

  $str_len = strlen($str);
  for($i = 0; $i < $str_len; $i++) {
    $new_str .= '\\x' . sprintf('%02x', ord(substr($str, $i, 1)));
  }

  return $new_str;
}

编辑:为什么json_encode()可能不合适的原因是,有时,你需要防止“生成”,例如。

<div onclick="alert(???)" />

如果你使用模板引擎来构建你的HTML,那么你可以用任何你想要的东西来填充它!

查看XTemplates。 它是一个很好的、开源的、轻量级的模板引擎。

你的HTML/JS看起来是这样的:

<script>
    var myvar = {$MyVarValue};
</script>