扩展别人的回答:

<script>
  var myvar = <?php echo json_encode($myVarValue); ?>;
</script>

使用json_encode()需要:

PHP 5.2.0或更高版本 $myVarValue编码为UTF-8(当然也可以是US-ASCII)

由于UTF-8支持完整的Unicode，因此动态转换应该是安全的。

注意，因为json_encode转义正斜杠，即使包含</script>的字符串也会被安全转义，以便使用脚本块打印。

Micah的解决方案如下工作为我的网站，我必须自定义不是在UTF-8，所以我不能使用json;我也想投票，但我的声望不够高。

function escapeJavaScriptText($string) 
{ 
    return str_replace("\n", '\n', str_replace('"', '\"', addcslashes(str_replace("\r", '', (string)$string), "\0..\37'\\"))); 
} 

不要通过addslashes()运行它;如果你在HTML页面的上下文中，HTML解析器仍然可以看到</script>标签，甚至在字符串中间，并假设它是JavaScript的结束:

<?php
    $value = 'XXX</script><script>alert(document.cookie);</script>';
?>

<script type="text/javascript">
    var foo = <?= json_encode($value) ?>; // Use this
    var foo = '<?= addslashes($value) ?>'; // Avoid, allows XSS!
</script>

我曾经遇到过类似的问题，我认为以下是最好的解决方案:

<script>
    var myvar = decodeURIComponent("<?php echo rawurlencode($myVarValue); ?>");
</script>

然而，micahwittman发布的链接表明存在一些小的编码差异。PHP的rawurlencode()函数应该符合RFC 1738，而Javascript的decodeURIComponent()似乎没有这样的努力。

扩展别人的回答:

<script>
  var myvar = <?php echo json_encode($myVarValue); ?>;
</script>

使用json_encode()需要:

PHP 5.2.0或更高版本 $myVarValue编码为UTF-8(当然也可以是US-ASCII)

由于UTF-8支持完整的Unicode，因此动态转换应该是安全的。

注意，因为json_encode转义正斜杠，即使包含</script>的字符串也会被安全转义，以便使用脚本块打印。

我不确定这是否是不好的做法，但我和我的团队一直在使用混合的html、JS和php解决方案。我们从想要拉入JS变量的PHP字符串开始，让我们称之为:

$someString

接下来我们使用页面内的隐藏表单元素，并将它们的值设置为字符串:

<form id="pagePhpVars" method="post">
<input type="hidden" name="phpString1" id="phpString1" value="'.$someString.'" />
</form>

然后通过document.getElementById定义一个JS变量就很简单了:

<script type="text/javascript" charset="UTF-8">
    var moonUnitAlpha = document.getElementById('phpString1').value;
</script>

现在你可以在任何你想获取PHP字符串值的地方使用JS变量“moonUnitAlpha”。 这对我们来说似乎很有效。我们来看看它能不能大量使用。