htmlspecialchars

描述

string htmlspecialchars ( string $string [, int $quote_style [, string $charset [, bool $double_encode ]]] )

某些字符在HTML中有特殊的意义，如果要保留它们的含义，就应该用HTML实体来表示。这个函数返回一个包含这些转换的字符串;所做的翻译是那些对日常web编程最有用的。如果需要翻译所有HTML字符实体，请使用htmlentities()。

此函数在防止用户提供的文本包含HTML标记时非常有用，例如在留言板或留言簿应用程序中。

所执行的翻译是:

* '&' (ampersand) becomes '&'
* '"' (double quote) becomes '"' when ENT_NOQUOTES is not set.
* ''' (single quote) becomes ''' only when ENT_QUOTES is set.
* '<' (less than) becomes '&lt;'
* '>' (greater than) becomes '&gt;'

http://ca.php.net/htmlspecialchars

Micah的解决方案如下工作为我的网站，我必须自定义不是在UTF-8，所以我不能使用json;我也想投票，但我的声望不够高。

function escapeJavaScriptText($string) 
{ 
    return str_replace("\n", '\n', str_replace('"', '\"', addcslashes(str_replace("\r", '', (string)$string), "\0..\37'\\"))); 
} 

不喜欢。使用Ajax，把它放在HTML中的data-*属性中，或者其他有意义的东西中。使用内联脚本使您的页面更大，可能是不安全的或仍然允许用户破坏布局，除非… 你做了一个更安全的函数: 函数inline_json_encode($obj) { 返回(“< !大小写不敏感——”、“< \ !——“json_encode (obj美元)); }

如果你使用模板引擎来构建你的HTML，那么你可以用任何你想要的东西来填充它!

查看XTemplates。 它是一个很好的、开源的、轻量级的模板引擎。

你的HTML/JS看起来是这样的:

<script>
    var myvar = {$MyVarValue};
</script>

我曾经遇到过类似的问题，我认为以下是最好的解决方案:

<script>
    var myvar = decodeURIComponent("<?php echo rawurlencode($myVarValue); ?>");
</script>

然而，micahwittman发布的链接表明存在一些小的编码差异。PHP的rawurlencode()函数应该符合RFC 1738，而Javascript的decodeURIComponent()似乎没有这样的努力。

用JSON编码