我不确定这是否是不好的做法，但我和我的团队一直在使用混合的html、JS和php解决方案。我们从想要拉入JS变量的PHP字符串开始，让我们称之为:

$someString

接下来我们使用页面内的隐藏表单元素，并将它们的值设置为字符串:

<form id="pagePhpVars" method="post">
<input type="hidden" name="phpString1" id="phpString1" value="'.$someString.'" />
</form>

然后通过document.getElementById定义一个JS变量就很简单了:

<script type="text/javascript" charset="UTF-8">
    var moonUnitAlpha = document.getElementById('phpString1').value;
</script>

现在你可以在任何你想获取PHP字符串值的地方使用JS变量“moonUnitAlpha”。 这对我们来说似乎很有效。我们来看看它能不能大量使用。

你可以试试

<script type="text/javascript">
    myvar = unescape('<?=rawurlencode($myvar)?>');
</script>

您可以将它插入一个隐藏的DIV中，然后将DIV的innerHTML分配给JavaScript变量。你不用担心会逃掉任何东西。只是要确保不要把坏的HTML放在那里。

我曾经遇到过类似的问题，我认为以下是最好的解决方案:

<script>
    var myvar = decodeURIComponent("<?php echo rawurlencode($myVarValue); ?>");
</script>

然而，micahwittman发布的链接表明存在一些小的编码差异。PHP的rawurlencode()函数应该符合RFC 1738，而Javascript的decodeURIComponent()似乎没有这样的努力。

不喜欢。使用Ajax，把它放在HTML中的data-*属性中，或者其他有意义的东西中。使用内联脚本使您的页面更大，可能是不安全的或仍然允许用户破坏布局，除非… 你做了一个更安全的函数: 函数inline_json_encode($obj) { 返回(“< !大小写不敏感——”、“< \ !——“json_encode (obj美元)); }

偏执版本:逃避每一个角色。

function javascript_escape($str) {
  $new_str = '';

  $str_len = strlen($str);
  for($i = 0; $i < $str_len; $i++) {
    $new_str .= '\\x' . sprintf('%02x', ord(substr($str, $i, 1)));
  }

  return $new_str;
}

编辑:为什么json_encode()可能不合适的原因是，有时，你需要防止“生成”，例如。

<div onclick="alert(???)" />