Передать строку PHP в переменную JavaScript (и экранировать символы новой строки) [duplicate]

Question

Передать строку PHP в переменную JavaScript (и экранировать символы новой строки) [duplicate]

339

Что является самым простым способом кодирования строки PHP для вывода в переменную JavaScript?

У меня есть строка PHP, которая включает в себя цитаты и новые строки. Мне нужно, чтобы содержимое этой строки помещалось в переменную JavaScript.

Обычно я просто создаю свой JavaScript в файле PHP, à la:

<script>
  var myvar = "<?php echo $myVarValue;?>";
</script>

Однако это не работает, если $myVarValue содержит кавычки или символы новой строки.

David Laing 03 окт. 2008, в 17:50

Источник

2

Просто хочу отметить, что вы можете использовать utf8_encode() перед передачей строки в json_encode . Вот что я делаю: echo json_encode(utf8_encode($msg));
carlosvini 11 сен. 2013, в 18:00

Теги:

php

javascript

escaping

newline

14 ответов

26

закодировать его с помощью JSON

Javier 03 окт. 2008, в 19:34

0

Вероятно, самый простой способ заставить это работать 100% времени. Слишком много дел, чтобы покрыть иначе.
willasaywhat 03 окт. 2008, в 18:42
0

Json работает только с UTF-8 Charset. Так что это не решение, если ваш сайт работает в кодировке не-UTF-8
Nir 27 апр. 2009, в 12:06
4

@nir: с одной стороны, я не знаю причин для использования какой-либо другой кодировки, с другой стороны, полный кодер JSON также управляет любым необходимым преобразованием кодировки
Javier 28 апр. 2009, в 02:03
0

Кодирования с помощью JSON недостаточно, вы также должны убедиться, что любая строка Javascript, содержащая </script> (без учета регистра), обрабатывается правильно.
Flimm 13 нояб. 2015, в 15:03
0

Единственное, что меня беспокоит, так это то, что кодирование с помощью json приведет к созданию объекта. На практике это легче понять, но когда вы получаете сложные массивы данных, в частности, те, которые считывают результаты SQL из базы данных, программисту понадобятся более глубокие знания javascript для эффективной обработки данных. По сути, я говорю, что пример сценария использования был бы великолепен.
Christopher 'Solidus' DeJong 11 июль 2016, в 17:41
0

Кодирование одного скалярного значения с помощью JSON не приведет к его принудительному обращению к объекту - вы просто получите строку utf-8. Например, скажем, ваш php-код выглядит следующим образом: $ x = "<script> alert ('xss!'); </ Script>"; и ваш HTML выглядит следующим образом: <script> var x = <? = json_encode ($ x);?> </ script> в результате просмотра будет: <script> var x = "<script> alert ('xss ! '); <\ / script> "</ script> Обратите внимание на двойные кавычки и экранированный слеш.
Craig Jacobs 07 янв. 2017, в 21:20

Показать ещё 4 комментария

19

function escapeJavaScriptText($string)
{
    return str_replace("\n", '\n', str_replace('"', '\"', addcslashes(str_replace("\r", '', (string)$string), "\0..\37'\\")));
}

micahwittman 03 окт. 2008, в 19:10

0

Я нуждался в этом, потому что я использовал содержимое переменной как часть составного выражения javascript.
Phil Cairns 22 фев. 2018, в 20:27
0

Это действительно помогло мне.
Austin 17 фев. 2019, в 03:37

17

У меня была аналогичная проблема, и я понял, что наилучшим решением является следующее:

<script>
    var myvar = decodeURIComponent("<?php echo rawurlencode($myVarValue); ?>");
</script>

Однако ссылка , которую опубликовал micahwittman, указывает на наличие незначительных различий в кодировке. Предполагается, что функция PHP rawurlencode() должна соответствовать RFC 1738, хотя, похоже, не было таких усилий с Javascript decodeURIComponent().

pr1001 14 янв. 2009, в 14:39

0

Я полагаю, что decodeURIComponent соответствует RFC 3986.
Ry-♦ 06 июнь 2014, в 15:52
0

Это правильное решение, когда вы анализируете большие строки (например, HTML-содержимое в виде строки)
Radu Gheorghies 23 сен. 2015, в 07:58
0

@RaduGheorghies Почему?
Tuesdave 27 сен. 2016, в 18:39

Показать ещё 1 комментарий

9

Параноидальная версия: Экранирование каждого символа.

function javascript_escape($str) {
  $new_str = '';

  $str_len = strlen($str);
  for($i = 0; $i < $str_len; $i++) {
    $new_str .= '\\x' . sprintf('%02x', ord(substr($str, $i, 1)));
  }

  return $new_str;
}

EDIT: Причина, по которой json_encode() может оказаться неприемлемой, заключается в том, что иногда вам необходимо предотвратить создание ", например.

<div onclick="alert(???)" />

giraff 23 апр. 2011, в 10:30

0

Спасение каждого персонажа работало на меня. json_encode не очень хорошо обрабатывает обратную косую черту. Если вам нужно передать что-то вроде регулярного выражения из mysql в javascript в качестве параметра, то это лучший способ.
Ekim 22 май 2012, в 04:05
0

@ kristoffer-ryhl правильно отмечает, что dechex не работает для '\ t' (= '\ x08'), поэтому я отредактировал его для использования sprintf. Тем не менее, это все еще не работает для символов UTF-8 (вместо этого потребуется использовать «\ u») ...
giraff 08 нояб. 2015, в 12:47
0

Для атрибута HTML вы можете сделать <div onclick="alert(<?php echo htmlspecialchars(json_encode($var));?>" />
Flimm 13 нояб. 2015, в 14:55

Показать ещё 1 комментарий

5

<script>
var myVar = <?php echo json_encode($myVarValue); ?>;
</script>

или

<script>
var myVar = <?= json_encode($myVarValue) ?>;
</script>

Kld 29 нояб. 2012, в 16:03

1

Вы не должны заключать закодированное значение в кавычки.
Salman A 25 янв. 2013, в 14:47
0

Обратите внимание, что json_encode экранирует косые черты, что означает, что он никогда не будет напечатан </script> случайно.
Flimm 13 нояб. 2015, в 15:01

3

Решение Micah ниже работало для меня, поскольку сайт, который я должен был настроить, не был в UTF-8, поэтому я не мог использовать json; Я проголосую, но мой представитель недостаточно высок.

function escapeJavaScriptText($string) 
{ 
    return str_replace("\n", '\n', str_replace('"', '\"', addcslashes(str_replace("\r", '', (string)$string), "\0..\37'\\"))); 
}

user291681 11 март 2010, в 18:37

0

Я тоже! Эти две строки кода - лучшее, что случилось с php (по крайней мере, ИМХО). Большое спасибо!!
rizalp1 26 окт. 2012, в 03:44

2

Dont. Используйте Ajax, поместите его в атрибуты data-* в свой HTML или что-то еще значимое. Использование встроенных скриптов делает ваши страницы большими, а может быть небезопасным или по-прежнему разрешать пользователям разрушать макет, если...

... вы делаете более безопасную функцию:

function inline_json_encode($obj) {
    return str_replace('<!--', '<\!--', json_encode($obj));
}

Ry- 08 янв. 2014, в 20:06

0

Я почти уверен, что <!-- не нужно экранировать внутри блока скрипта, единственное, на что нужно обратить внимание в допустимом строковом литерале Javascript - это </script> , и json_encode никогда не выводит его, потому что он ускользает от косой черты.
Flimm 13 нояб. 2015, в 15:00
0

@Flimm: Вы смотрели на ссылку на кодовую панель? Попробуйте <script>console.log("")</script> , где две строки, переданные в console.log предоставляются пользователем (т. е. шаблон выглядит как <script>console.log({{ s1 }})</script><script>console.log({{ s2 }})</script> , где $s1 и $s2 получены из плохого кодера JSON). Конечно, вторая строка содержит косую черту без экранирования, и пример полностью придуман, но злонамеренный пользователь все еще может вызвать синтаксическую ошибку, подобную этой.
Ry-♦ 13 нояб. 2015, в 20:58
0

@Flimm: как это работает: <!--<script> заставляет законный </script> трактоваться как код, а не как конечный тег.
Ry-♦ 13 нояб. 2015, в 20:59

Показать ещё 1 комментарий

2

Не запускайте его, хотя addslashes(); если вы находитесь в контексте HTML-страницы, парсер HTML все еще может видеть тег </script>, даже среднюю строку, и считать его завершением JavaScript:

<?php
    $value = 'XXX</script><script>alert(document.cookie);</script>';
?>

<script type="text/javascript">
    var foo = <?= json_encode($value) ?>; // Use this
    var foo = '<?= addslashes($value) ?>'; // Avoid, allows XSS!
</script>

Craig Francis 19 окт. 2012, в 10:53

0

Возможно, я делаю глупую ошибку, но когда я пытаюсь выполнить этот код, я получаю следующую консольную ошибку SyntaxError: expected expression, got '<' ТОЛЬКО SyntaxError: expected expression, got '<' когда я обращаюсь к внешнему файлу .js, когда он inilne, он работает отлично. Мысли?
Ryan Dorn 13 авг. 2015, в 14:52
0

@RADMKT Просто предположение, но если это файл .js, он, вероятно, не использует PHP. Возможно, стоит загрузить внешний файл JS в веб-браузер, чтобы увидеть вывод кода.
Craig Francis 13 авг. 2015, в 14:55

2

htmlspecialchars

Описание

string htmlspecialchars ( string $string [, int $quote_style [, string $charset [, bool $double_encode ]]] )

Некоторые символы имеют особое значение в HTML и должны быть представлены объектами HTML, если они должны сохранять их значения. Эта функция возвращает строку с некоторыми из сделанных преобразований; сделанные переводы являются наиболее полезными для повседневного веб-программирования. Если вам требуется перевести все символы символов HTML, используйте вместо этого htmlentities().

Эта функция полезна для предотвращения того, чтобы текст, предоставленный пользователем, содержал разметку HTML, например, на доске объявлений или приложении гостевой книги.

Выполненные переводы:

* '&' (ampersand) becomes '&amp;'
* '"' (double quote) becomes '&quot;' when ENT_NOQUOTES is not set.
* ''' (single quote) becomes '&#039;' only when ENT_QUOTES is set.
* '<' (less than) becomes '&lt;'
* '>' (greater than) becomes '&gt;'

http://ca.php.net/htmlspecialchars

Chris MacDonald 03 окт. 2008, в 19:32

3

Это будет правильным решением, если на самом деле предполагается, что содержимое переменной JS - это HTML, где строковый токен, такой как & amp; имеет значение. В противном случае, может быть, лучше не преобразовывать их в сущности.
Peter Bailey 03 окт. 2008, в 18:48

2

Вы можете попробовать

<script type="text/javascript">
    myvar = unescape('<?=rawurlencode($myvar)?>');
</script>

Jacob 03 окт. 2008, в 19:14

0

Не работает полностью Попробуйте с этой строкой ::: Мне интересно "Эй, Джуд", потому что 1 + 1 <5 ::: мы все еще получаем & lt; так что не 100% двунаправленная транслитерация
Tom Auger 22 дек. 2010, в 22:55
0

unescape устарела. decodeURIComponent этого используйте decodeURIComponent .
emix 19 май 2016, в 11:05

2

Вы можете вставить его в скрытый DIV, а затем назначьте innerHTML DIV вашей переменной JavaScript. Вам не нужно беспокоиться о том, чтобы избежать чего-либо. Просто убедитесь, что там не сломанный HTML-код.

Diodeus - James MacFarlane 03 окт. 2008, в 19:09

0

«не помещать туда поврежденный HTML», что означает экранирование «сущностей HTML» (как минимум «<» и «&»)
Javier 18 фев. 2009, в 03:55
0

Нет, просто не закрывайте контейнер DIV преждевременно.
Diodeus - James MacFarlane 18 фев. 2009, в 21:30

-1

Если вы используете шаблонный движок для создания своего HTML-кода, вы можете заполнить его тем, что хотите!

Отъезд XTemplates. Это хороший, с открытым исходным кодом, легкий, шаблонный движок.

Ваш HTML/JS будет выглядеть так:

<script>
    var myvar = {$MyVarValue};
</script>

Adam 03 окт. 2008, в 19:10

-3

Я не уверен, что это плохая практика или нет, но моя команда и я используем смешанное решение html, JS и php. Мы начинаем с строки PHP, которую хотим перетащить в переменную JS, и позвоним ей:

$someString

Далее мы используем встроенные элементы скрытой формы и задаем их как строку:

<form id="pagePhpVars" method="post">
<input type="hidden" name="phpString1" id="phpString1" value="'.$someString.'" />
</form>

Тогда это простой вопрос определения JS var через document.getElementById:

<script type="text/javascript" charset="UTF-8">
    var moonUnitAlpha = document.getElementById('phpString1').value;
</script>

Теперь вы можете использовать JS-переменную "moonUnitAlpha" в любом месте, где хотите захватить это строковое значение PHP. Кажется, это работает очень хорошо для нас. Мы посмотрим, будет ли это зависеть от тяжелого использования.

ioTus 27 авг. 2010, в 01:03

1

Я делал это в моих предыдущих проектах. В следующий раз я попытаюсь использовать данные jQuery.
wenbert 27 авг. 2010, в 06:05
2

не забудьте htmlencode вашего $ someString ... и хотя это хорошо для input @ value, вы должны быть особенно осторожны с атрибутами типа href / src / onclick (попробуйте добавить в белый список), так как они могут сразу перейти к использованию javascript : протокол, который не защищен HTML-кодированными значениями.
Craig Francis 19 окт. 2012, в 09:55
0

Чтобы быть в безопасности, вы действительно должны сделать value="<?php echo htmlspecialchars(json_encode($someString));?>" .
Flimm 13 нояб. 2015, в 15:02

Показать ещё 1 комментарий

Ещё вопросы

Просто хочу отметить, что вы можете использовать utf8_encode() перед передачей строки в json_encode . Вот что я делаю: echo json_encode(utf8_encode($msg));
Вероятно, самый простой способ заставить это работать 100% времени. Слишком много дел, чтобы покрыть иначе.
Json работает только с UTF-8 Charset. Так что это не решение, если ваш сайт работает в кодировке не-UTF-8
@nir: с одной стороны, я не знаю причин для использования какой-либо другой кодировки, с другой стороны, полный кодер JSON также управляет любым необходимым преобразованием кодировки
Кодирования с помощью JSON недостаточно, вы также должны убедиться, что любая строка Javascript, содержащая </script> (без учета регистра), обрабатывается правильно.
Единственное, что меня беспокоит, так это то, что кодирование с помощью json приведет к созданию объекта. На практике это легче понять, но когда вы получаете сложные массивы данных, в частности, те, которые считывают результаты SQL из базы данных, программисту понадобятся более глубокие знания javascript для эффективной обработки данных. По сути, я говорю, что пример сценария использования был бы великолепен.
Кодирование одного скалярного значения с помощью JSON не приведет к его принудительному обращению к объекту - вы просто получите строку utf-8. Например, скажем, ваш php-код выглядит следующим образом: $ x = "<script> alert ('xss!'); </ Script>"; и ваш HTML выглядит следующим образом: <script> var x = <? = json_encode ($ x);?> </ script> в результате просмотра будет: <script> var x = "<script> alert ('xss ! '); <\ / script> "</ script> Обратите внимание на двойные кавычки и экранированный слеш.
Я нуждался в этом, потому что я использовал содержимое переменной как часть составного выражения javascript.
Я полагаю, что decodeURIComponent соответствует RFC 3986.
Это правильное решение, когда вы анализируете большие строки (например, HTML-содержимое в виде строки)
Спасение каждого персонажа работало на меня. json_encode не очень хорошо обрабатывает обратную косую черту. Если вам нужно передать что-то вроде регулярного выражения из mysql в javascript в качестве параметра, то это лучший способ.
@ kristoffer-ryhl правильно отмечает, что dechex не работает для '\ t' (= '\ x08'), поэтому я отредактировал его для использования sprintf. Тем не менее, это все еще не работает для символов UTF-8 (вместо этого потребуется использовать «\ u») ...
Для атрибута HTML вы можете сделать <div onclick="alert(<?php echo htmlspecialchars(json_encode($var));?>" />
Вы не должны заключать закодированное значение в кавычки.
Обратите внимание, что json_encode экранирует косые черты, что означает, что он никогда не будет напечатан </script> случайно.
Я тоже! Эти две строки кода - лучшее, что случилось с php (по крайней мере, ИМХО). Большое спасибо!!
Я почти уверен, что <!-- не нужно экранировать внутри блока скрипта, единственное, на что нужно обратить внимание в допустимом строковом литерале Javascript - это </script> , и json_encode никогда не выводит его, потому что он ускользает от косой черты.
@Flimm: Вы смотрели на ссылку на кодовую панель? Попробуйте <script>console.log("")</script> , где две строки, переданные в console.log предоставляются пользователем (т. е. шаблон выглядит как <script>console.log({{ s1 }})</script><script>console.log({{ s2 }})</script> , где $s1 и $s2 получены из плохого кодера JSON). Конечно, вторая строка содержит косую черту без экранирования, и пример полностью придуман, но злонамеренный пользователь все еще может вызвать синтаксическую ошибку, подобную этой.
@Flimm: как это работает: <!--<script> заставляет законный </script> трактоваться как код, а не как конечный тег.
Возможно, я делаю глупую ошибку, но когда я пытаюсь выполнить этот код, я получаю следующую консольную ошибку SyntaxError: expected expression, got '<' ТОЛЬКО SyntaxError: expected expression, got '<' когда я обращаюсь к внешнему файлу .js, когда он inilne, он работает отлично. Мысли?
@RADMKT Просто предположение, но если это файл .js, он, вероятно, не использует PHP. Возможно, стоит загрузить внешний файл JS в веб-браузер, чтобы увидеть вывод кода.
Это будет правильным решением, если на самом деле предполагается, что содержимое переменной JS - это HTML, где строковый токен, такой как & amp; имеет значение. В противном случае, может быть, лучше не преобразовывать их в сущности.
Не работает полностью Попробуйте с этой строкой ::: Мне интересно "Эй, Джуд", потому что 1 + 1 <5 ::: мы все еще получаем & lt; так что не 100% двунаправленная транслитерация
unescape устарела. decodeURIComponent этого используйте decodeURIComponent .
«не помещать туда поврежденный HTML», что означает экранирование «сущностей HTML» (как минимум «<» и «&»)
Нет, просто не закрывайте контейнер DIV преждевременно.
Я делал это в моих предыдущих проектах. В следующий раз я попытаюсь использовать данные jQuery.
не забудьте htmlencode вашего $ someString ... и хотя это хорошо для input @ value, вы должны быть особенно осторожны с атрибутами типа href / src / onclick (попробуйте добавить в белый список), так как они могут сразу перейти к использованию javascript : протокол, который не защищен HTML-кодированными значениями.
Чтобы быть в безопасности, вы действительно должны сделать value="<?php echo htmlspecialchars(json_encode($someString));?>" .

bobwienholt · Accepted Answer · 2008-10-03T22-26-00.000Z

492

Лучший ответ

Расширение ответа на кого-то другого:

<script>
  var myvar = <?php echo json_encode($myVarValue); ?>;
</script>

Использование json_encode() требует:

PHP 5.2.0 или выше
$myVarValue закодирован как UTF-8 (или US-ASCII, конечно)

Так как UTF-8 поддерживает полный Unicode, безопасно конвертировать на лету.

Обратите внимание, что поскольку json_encode вытесняет косую черту, даже строка, содержащая </script>, будет безопасно удалена для печати с блоком script.

bobwienholt 03 окт. 2008, в 22:26

10

Если вы используете UTF-8, это лучшее решение на сегодняшний день.
Kornel 13 окт. 2008, в 23:02
4

Важно, чтобы реализация json_encode избегала прямой косой черты. Если бы это не так, это не сработало бы, если бы $ myVarValue был "</ script>". Но json_encode избегает косой черты, так что мы в порядке.
Drew LeSueur 01 окт. 2010, в 19:40
0

Если вы не 5.2, попробуйте jsonwrapper с boutell.com boutell.com/scripts/jsonwrapper.html
Tom Auger 22 дек. 2010, в 22:57
0

Если вы используете это в переносимом (например, библиотечном) коде, есть одна оговорка. json_encode () был объявлен неисправным . Это исправлено для меня (5.4.4-7 на Debian), но я не знаю о более ранних версиях.
sourcejedi 05 нояб. 2012, в 12:49
0

Имейте в виду, что в PHP 5.3 теперь есть опции для экранирования различных символов. См. Пример № 2 для различных выводов: php.net/manual/en/function.json-encode.php
Dan 13 март 2013, в 23:19
2

Обратите внимание: если вы используете это в атрибутах onclick и т. П., Вам нужно передать результат json_encode в htmlspecialchars , например: htmlspecialchars(json_encode($string),ENT_QUOTES,'utf-8') иначе вы можете получить проблемы, например, с &bar; в foo()&&bar; интерпретируется как сущность HTML.
user2428118 02 июнь 2014, в 14:09
0

Работал отлично, спасибо! Также, чтобы другие не сталкивались с тем же, что я делал при использовании этого: убедитесь, что удалили кавычки вокруг переменных php json_encoded, которые вы вставляете в javascript, потому что json_encode уже включает их.
Kt Mack 09 сен. 2014, в 03:33
0

Если строка содержит новую строку, то я думаю, что она выдаст ошибку
Abhisek Malakar 06 авг. 2015, в 08:20
0

Простой вызов json_encode () для экранирования вывода небезопасен. Добавление JSON_HEX_QUOT | JSON_HEX_APOS | JSON_HEX_AMP | JSON_HEX_TAG в качестве второго параметра помогает в некоторых случаях, но все же позволяет вводить некоторый код JS, например «1; alert (10)», или что-то более вредное в примере, подобном этому. Кроме правильной проверки ввода, я не уверен, что может помочь в этом случае. Без второго параметра внедрение любого кода тривиально.
lucian303 30 дек. 2015, в 19:34
0

Я думаю, что лучший способ на PHP 5.4+ использовать два хороших специальных флага. И конечно же короткий синтаксис. Вот оно: var myvar = <?=json_encode($myVarValue, JSON_UNESCAPED_SLASHES|JSON_UNESCAPED_UNICODE)?>; , Первый говорит не кодировать косую черту / , второй печатает любые символы utf8 не как xNNNN а как есть.
FlameStorm 20 март 2017, в 09:45
0

@FlameStorm: кодировать прямые косые черты, что полезно для предотвращения инъекций </script> (!!), когда они становятся <\/script> . В противном случае тег сценария преждевременно закрывается, что может быть использовано как часть атаки. - см. также предыдущий комментарий stackoverflow.com/questions/168214/…
hakre 19 май 2017, в 07:57
1

@hakre: Но то, как строка PHP содержит "...</script>..." может стать JS не-строкой </script> вместо просто строки JS "...</script>..." после json_encode PHP ? Это всегда добавляет кавычки для строки. Итак, var x = "...</script>..."; это просто строка JS. Без остановки.
FlameStorm 27 июль 2017, в 14:21
0

Для тех, кто использует Laravel, вы можете использовать ультра-простой @json($myVarValue) . Смотрите раздел «Рендеринг JSON» в разделе laravel.com/docs/5.6/blade#displaying-data.
Ryan DuVal 28 июнь 2018, в 17:51
0

В некоторых случаях json_encode () недостаточно: docs.zendframework.com/zend-escaper/escaping-javascript
pako 24 окт. 2018, в 10:55
0

привет, пожалуйста, кто-нибудь знает, почему я получаю SyntaxError: expected expression, got '<' при использовании var a = <?php echo json_encode($_REQUEST["errors"]); ?>; , благодарю вас
Scaramouche 14 март 2019, в 13:56

Показать ещё 13 комментариев