Micah的解决方案如下工作为我的网站，我必须自定义不是在UTF-8，所以我不能使用json;我也想投票，但我的声望不够高。

function escapeJavaScriptText($string) 
{ 
    return str_replace("\n", '\n', str_replace('"', '\"', addcslashes(str_replace("\r", '', (string)$string), "\0..\37'\\"))); 
} 

function escapeJavaScriptText($string)
{
    return str_replace("\n", '\n', str_replace('"', '\"', addcslashes(str_replace("\r", '', (string)$string), "\0..\37'\\")));
}

扩展别人的回答:

<script>
  var myvar = <?php echo json_encode($myVarValue); ?>;
</script>

使用json_encode()需要:

PHP 5.2.0或更高版本 $myVarValue编码为UTF-8(当然也可以是US-ASCII)

由于UTF-8支持完整的Unicode，因此动态转换应该是安全的。

注意，因为json_encode转义正斜杠，即使包含</script>的字符串也会被安全转义，以便使用脚本块打印。

不要通过addslashes()运行它;如果你在HTML页面的上下文中，HTML解析器仍然可以看到</script>标签，甚至在字符串中间，并假设它是JavaScript的结束:

<?php
    $value = 'XXX</script><script>alert(document.cookie);</script>';
?>

<script type="text/javascript">
    var foo = <?= json_encode($value) ?>; // Use this
    var foo = '<?= addslashes($value) ?>'; // Avoid, allows XSS!
</script>

如果你使用模板引擎来构建你的HTML，那么你可以用任何你想要的东西来填充它!

查看XTemplates。 它是一个很好的、开源的、轻量级的模板引擎。

你的HTML/JS看起来是这样的:

<script>
    var myvar = {$MyVarValue};
</script>

不喜欢。使用Ajax，把它放在HTML中的data-*属性中，或者其他有意义的东西中。使用内联脚本使您的页面更大，可能是不安全的或仍然允许用户破坏布局，除非… 你做了一个更安全的函数: 函数inline_json_encode($obj) { 返回(“< !大小写不敏感——”、“< \ !——“json_encode (obj美元)); }