将PHP字符串编码输出到JavaScript变量的最简单方法是什么?
我有一个PHP字符串,其中包括引号和换行。我需要将这个字符串的内容放入一个JavaScript变量中。
通常,我只会在一个PHP文件中构造我的JavaScript, à la:
<script>
var myvar = "<?php echo $myVarValue;?>";
</script>
但是,当$myVarValue包含引号或换行符时,这就不起作用了。
当前回答
<script>
var myVar = <?php echo json_encode($myVarValue); ?>;
</script>
or
<script>
var myVar = <?= json_encode($myVarValue) ?>;
</script>
其他回答
不要通过addslashes()运行它;如果你在HTML页面的上下文中,HTML解析器仍然可以看到</script>标签,甚至在字符串中间,并假设它是JavaScript的结束:
<?php
$value = 'XXX</script><script>alert(document.cookie);</script>';
?>
<script type="text/javascript">
var foo = <?= json_encode($value) ?>; // Use this
var foo = '<?= addslashes($value) ?>'; // Avoid, allows XSS!
</script>
如果你使用模板引擎来构建你的HTML,那么你可以用任何你想要的东西来填充它!
查看XTemplates。 它是一个很好的、开源的、轻量级的模板引擎。
你的HTML/JS看起来是这样的:
<script>
var myvar = {$MyVarValue};
</script>
偏执版本:逃避每一个角色。
function javascript_escape($str) {
$new_str = '';
$str_len = strlen($str);
for($i = 0; $i < $str_len; $i++) {
$new_str .= '\\x' . sprintf('%02x', ord(substr($str, $i, 1)));
}
return $new_str;
}
编辑:为什么json_encode()可能不合适的原因是,有时,你需要防止“生成”,例如。
<div onclick="alert(???)" />
用JSON编码
扩展别人的回答:
<script>
var myvar = <?php echo json_encode($myVarValue); ?>;
</script>
使用json_encode()需要:
PHP 5.2.0或更高版本 $myVarValue编码为UTF-8(当然也可以是US-ASCII)
由于UTF-8支持完整的Unicode,因此动态转换应该是安全的。
注意,因为json_encode转义正斜杠,即使包含</script>的字符串也会被安全转义,以便使用脚本块打印。
推荐文章
- 给一个数字加上st, nd, rd和th(序数)后缀
- 如何以编程方式触发引导模式?
- 致命错误:未找到类“SoapClient”
- setTimeout带引号和不带括号的区别
- 在JS的Chrome CPU配置文件中,'self'和'total'之间的差异
- 如何在命令提示符中使用空格?
- 用javascript检查输入字符串中是否包含数字
- 如何使用JavaScript分割逗号分隔字符串?
- 在Javascript中~~(“双波浪号”)做什么?
- 谷歌chrome扩展::console.log()从后台页面?
- 未捕获的SyntaxError:
- 我目前使用的是哪个版本的CodeIgniter ?
- [].slice的解释。调用javascript?
- jQuery日期/时间选择器
- 合并两个PHP对象的最佳方法是什么?
