Как передать переменные и данные из PHP в JavaScript?

Question

Как передать переменные и данные из PHP в JavaScript?

585

У меня есть переменная в PHP, и мне нужно ее значение в моем JavaScript-коде. Как я могу получить свою переменную от PHP до JavaScript?

У меня есть код, который выглядит так:

<?php
     ...
     $val = $myService->getValue(); // makes an api and db call
?>

У меня есть JavaScript-код, который нуждается в val и выглядит по строкам:

<script>
    myPlugin.start($val); // tried this, didn't work
    <?php myPlugin.start($val); ?> // this didn't work either
    myPlugin.start(<?=$val?> // this works sometimes, but sometimes it fails
</script>

Madara Uchiha 19 май 2014, в 15:41

Источник

2

Была ли пропущенная закрывающая скобка в myPlugin.start(<?=$val?> ? Правда ли, что «это иногда работает»?
andrew 20 май 2014, в 14:44
1

Ну, на самом деле это был Бен, но давайте просто скажем, что если $ val равен "42)" это будет хорошо работать: D
Madara Uchiha♦ 20 май 2014, в 14:45

Теги:

php

javascript

20 ответов

86

Я попробую более простой ответ:

Объяснение проблемы

Во-первых, позвольте понять поток событий, когда страница обслуживается с нашего сервера:

Первый PHP запущен, он генерирует HTML, который подается клиенту.
Затем HTML доставляется клиенту, после того как PHP будет с ним сделан, я хотел бы подчеркнуть, что после того, как код покинет сервер - PHP завершен с ним и больше не сможет его получить.
Затем HTML с JavaScript доходит до клиента, который может выполнять JS на этом html.

Так что, главное, чтобы помнить, что HTTP является апатридом. После того, как запрос покинул сервер, сервер не может его коснуться. Таким образом, это оставляет наши возможности:

Отправлять больше запросов от клиента после завершения первоначального запроса.
Кодировать то, что сервер должен был сказать в первоначальном запросе.

Решение

Что основной вопрос, который вы должны задать себе:

Я пишу веб-сайт или приложение?

Веб-сайты в основном основаны на страницах, а время загрузки страницы должно быть как можно быстрее (например, Википедия). Веб-приложения более тяжелые AJAX и совершают много круговых поездок, чтобы быстро получить информацию о клиенте (например, панель управления запасами).

Сайт

Отправка большего количества запросов от клиента после выполнения первоначального запроса медленно, поскольку для этого требуется больше HTTP-запросов, которые имеют значительные накладные расходы. Более того, для асинхронности требуется асинхронность, так как для запроса AJAX требуется обработчик для завершения.

Я бы не рекомендовал делать другой запрос, если ваш сайт не является приложением для получения этой информации с сервера.

Вы хотите быстрое время отклика, которое оказывает огромное влияние на время конверсии и загрузки. Выполнение запросов ajax в этом случае замедляется для первоначального времени безотказной работы.

У вас есть два способа решения проблемы.

Установить cookie - файлы cookie - это заголовки, отправленные в HTTP-запросах, которые могут считываться как сервером, так и клиентом.
Кодировать переменную как JSON. JSON очень близок к объектам JavaScript, и большинство объектов JSON являются действительными переменными JavaScript.

Настройка файла cookie действительно не очень сложно, вы просто назначаете ему значение:

setcookie("MyCookie", $value); // sets the cookie to the value, remember, do not
                               // set it with HTTP only to true.

Затем вы можете прочитать его с помощью JavaScript с помощью document.cookie:

Вот короткий рулонный парсер, но ответ, который я связал прямо над ним, имеет лучшие проверенные:

var cookies = document.cookie.split(";").
    map(function(el){ return el.split("="); }).
    reduce(function(prev,cur){ prev[cur[0]] = cur[1];return prev },{});

cookies["MyCookie"] // value set with php.

Файлы cookie хороши для небольших данных. Это то, что часто делают службы отслеживания.

Как только у нас будет больше данных, мы можем закодировать его с JSON внутри JS-переменной:

<script>
    var myServerData = <?=json_encode($value)?>; // don't forget to sanitize 
                                                 //server data
</script>

Предполагая, что $value является json_encode способным на стороне PHP (это обычно есть). Этот метод - это то, что StackOverflow делает со своим чатом, например (только с использованием .net вместо php).

Применение

Если вы пишете приложение - внезапно начальное время загрузки не всегда так важно, как текущая производительность приложения, и он начинает окупаться для загрузки данных и кода отдельно.

Мой ответ здесь объясняет, как загружать данные с помощью AJAX в JavaScript:

function callback(data){
    // what do I do with the response?
}

var httpRequest = new XMLHttpRequest;
httpRequest.onreadystatechange = function(){
    if (httpRequest.readyState === 4) {// request is done
        if (httpRequest.status === 200) {// successfully
            callback(httpRequest.responseText);// we're calling our method
        }
    }
};
httpRequest.open('GET', "/echo/json");
httpRequest.send();

Или с помощью jQuery:

$.get("/your/url").done(function(data){
    // what do I do with the data?
});

Теперь сервер просто должен содержать маршрут /your/url route/file, который содержит код, который захватывает данные и что-то делает с ним, в вашем случае:

<$php
 ...
 $val = myService->getValue(); // makes an api and db call
 echo json_encode($val); // write it to the output
 $>

Таким образом, наш JS файл запрашивает данные и показывает их, а не запрашивает код или макет. Это чище и начинает окупаться по мере того, как приложение становится выше. Это также улучшает разделение проблем и позволяет тестировать код на стороне клиента без участия какой-либо технологии на стороне сервера, что является еще одним плюсом.

Постскриптум: Вы должны быть очень осведомлены о векторах атаки XSS, когда вы добавляете что-либо от PHP к JavaScript. Очень трудно избежать значений правильно, и это зависит от контекста. Если вы не знаете, как обращаться с XSS или не знаете об этом - прочитайте эту статью OWASP, этот и этот вопрос.

Benjamin Gruenbaum 19 май 2014, в 15:18

0

Nitpick: нет такой вещи как «объект JSON» (кроме того, который имеет методы parse и stringify ). JSON по определению является последовательностью символов.
cHao 20 май 2014, в 01:47
4

@cHao в более общем смысле - кодировки определяются как последовательность символов, а существование концептуальных объектов является философским. Однако существуют такие вещи, как объекты JSON, и они определяются грамматикой JSON. {} является допустимым объектом JSON - см. json.org
Benjamin Gruenbaum 20 май 2014, в 03:12
0

Если вы используете это определение, тогда все «объекты JSON» действительны в JS.
cHao 20 май 2014, в 05:21
1

@cHao обратите внимание на тонкость: в JavaScript есть понятие объекта, а в JSON есть понятие объекта - они не одинаковы. Когда люди неправильно используют термин «объект JSON», они имеют в виду объект JS, где на земле JavaScript - JSON используется в качестве формата сериализации данных, а объекты JSON появляются внутри строк (что-то вроде запросов SQL в серверных языках). Однако в этом ответе метод JSON основан на том факте, что большинство объектов JSON также являются допустимыми объектами JavaScript, поэтому мы записываем объект JSON в код JavaScript.
Benjamin Gruenbaum 20 май 2014, в 06:02
0

JSON - это строгое подмножество синтаксиса JS для литералов. Если это допустимый JSON как текст, то по определению это уже допустимый JS, когда отображается как код.
cHao 20 май 2014, в 13:42
0

@cHao JSON на самом деле не является строгим подмножеством синтаксиса JS для литералов, однако - да, это хитрость :)
Benjamin Gruenbaum 20 май 2014, в 13:43
0

Хорошо, вам нужно показать этот действительный JSON, который будет недействительным JS. Потому что я, конечно, не видел это.
cHao 20 май 2014, в 14:45
0

@cHao Ах, но я предвидел этот момент вчера :) stackoverflow.com/questions/23752156/…
Benjamin Gruenbaum 20 май 2014, в 14:45
1

ОК, ты меня там :) Это все еще безопасно, хотя; Поведение по умолчанию в PHP - экранировать такие символы (вместе с другими не-ASCII-символами), чтобы они никогда не \u2028 в вывод, кроме как \u2028 и т. Д. Вы должны явно указать, чтобы это не \u2028 .
cHao 20 май 2014, в 15:02
0

почему я должен дезинфицировать данные? Я отправляю его с сервера, и я полностью осознаю, что это такое, тогда зачем дезинфицировать?
avi 28 июнь 2014, в 11:38
1

@avi: доверять поступающим данным - значит доверять их источнику. И под «источником» я имею в виду не только скрипт-обработчик ajax вашего сервера - я также имею в виду код, который хранит используемые данные, и любого пользователя, который может иметь входные данные, которые используются, и (если вы не используете HTTPS) даже маршрутизаторы между пользователем и вашим сервером, которые передают данные вместе. Если вы можете доказать, что инъекция абсолютно невозможна, очистка может быть излишней. Но этот уровень уверенности довольно редко.
cHao 14 авг. 2014, в 23:18

Показать ещё 9 комментариев

75

Я обычно использую атрибуты data- * в html.

<div class="service-container" data-service="<?php echo $myService->getValue(); ?>">

</div>

<script>
$(document).ready(function() {
    $('.service-container').each(function() {
        var container = $(this);
        var service = container.data('service');

        // service variable now contains the value of $myService->getValue();
    });
});
</script>

В этом примере используется jQuery, но может быть адаптирован для другой библиотеки или ванильного Javascript.

Подробнее о свойстве набора данных можно узнать здесь: https://developer.mozilla.org/en-US/docs/Web/API/HTMLElement.dataset

yuikonnu 22 май 2014, в 18:01

0

Этот ответ на самом деле кажется мне наиболее простым для большинства людей. Вы заработали upvote!
Eckstein 13 июль 2014, в 03:39
4

Я согласен, не желая переоценивать и реализовывать причудливое решение для простой проблемы. Этот метод отделяет PHP от Javascript, так что PHP по-прежнему генерирует только HTML, в то время как Javascript может быть внешним по отношению к файлу PHP.
alds 30 июль 2014, в 16:32
2

Я согласен, что это лучший вариант. Это решает все проблемы безопасности, без задержки. Вы можете полностью исключить JS из своих HTML-страниц. HTML должен обслуживаться сервером приложений, а JS (и CSS) - нет. Это также более семантически.
Ryan 14 апр. 2015, в 02:26
0

Это сломается, если данные содержат " символы». Вам нужно экранировать данные для HTML, прежде чем вывести их в значение атрибута.
Quentin 19 авг. 2015, в 14:23
1

@Quentin Вы должны экранировать ВСЕ выходные данные, если только вывод не является самим HTML.
yuikonnu 28 окт. 2015, в 23:57
2

@asdasd - Да, я просто решил конкретную проблему с кодом в вашем ответе, а не в общем случае.
Quentin 28 окт. 2015, в 23:59
0

Если пользователь может манипулировать данными, отображаемыми в PHP, вам нужно использовать функцию htmlspecialchars (), чтобы убедиться, что HTML верен. Возьмем сценарий, в котором $myService->getValue() возвращает вредоносную строку "> <script>...Enter JavaScript that watches for the user to input credit card info or passwords on the site</script> вводил "> <script>...Enter JavaScript that watches for the user to input credit card info or passwords on the site</script>
Mr. Me 16 дек. 2016, в 00:34
0

Это выглядит лучшим решением для меня, как говорят другие люди в своих комментариях. Есть ли какая-либо разница или предпочтение использовать другие теги, такие как script или meta , вместо div ? Интересно, есть ли лучшая практика для такого рода использования тегов.
kanji 12 фев. 2018, в 13:13
1

@ кандзи - нет лучшей практики; div отлично, но вы можете использовать любой тег, который вам нравится; должен быть в body хотя.
Timm 11 окт. 2018, в 23:09
1

Просто не забудьте скрыть контейнер службы: <div class="service-container" data-service="..." style="display:none;"><\div> .
Timm 11 окт. 2018, в 23:58

Показать ещё 8 комментариев

36

<script>
  var jsvar = <?php echo json_encode($PHPVar); ?>;
</script>

json_encode() требует:

PHP 5.2.0 и более
$PHPVar закодирован как UTF-8, Unicode.

Jessé Catrinck 18 июль 2014, в 23:42

15

Просто используйте один из следующих способов.

<script type="text/javascript">
var js_variable  = '<?php echo $php_variable;?>';
<script>

ИЛИ

<script type="text/javascript">
    var js_variable = <?php echo json_encode($php_variable); ?>; 
</script>

Nishant Mendiratta 13 апр. 2015, в 19:17

4

Какую ценность это добавляет к существующим ответам?
Benjamin Gruenbaum 13 апр. 2015, в 18:59
5

Сохраняя это простым и прямым. Для всех пользователей, у которых есть много времени, чтобы углубиться в глубокие объяснения
Nishant Mendiratta 13 апр. 2015, в 19:06
1

Почему это было отвергнуто? Это самое простое рабочее решение.
desbest 02 май 2015, в 19:30
1

Просто лучше
Doberon 28 нояб. 2017, в 16:28
0

Может быть, это глупый вопрос, но я абсолютно новичок в мире PHP. Как только мы напишем приведенный выше код в файле .php, как мне получить доступ к «js_variable» в моем файле JavaScript или в моем файле «index.html»?
Ankit Prajapati 25 июнь 2018, в 15:07
0

@AnkitPrajapati Попробуйте получить к нему доступ, проверив состояние готовности документа. Используя следующий скрипт. document.onreadystatechange = () => { if (document.readyState === 'complete') { // document ready alert(js_variable) } };
Nishant Mendiratta 26 июнь 2018, в 06:42
0

@Nishant: Спасибо за ответ. Оценил. Я постараюсь и дам вам знать. Или, может быть, я буду использовать куки. :)
Ankit Prajapati 26 июнь 2018, в 15:09

Показать ещё 5 комментариев

9

Мне очень нравится, как Wordpress работает со своими enqueue и localize функциями, поэтому после этой модели я написал простой класс для размещения сценариев на странице в соответствии с зависимостями script и для предоставления дополнительных данных для script.

class mHeader {

    private $scripts = array();

    /**
     * @param string $id        unique script identifier
     * @param string $src   script src attribute
     * @param array  $deps      an array of dependencies ( script identifiers ).
     * @param array  $data      an array, data that will be json_encoded and available to the script.
     */
    function enqueue_script( $id, $src, $deps = array(), $data = array() ) {
        $this->scripts[$id] = array( 'src' => $src, 'deps' => $deps, 'data' => $data );
    }

    private function dependencies( $script ) {
        if ( $script['deps'] ) {
            return array_map( array( $this, 'dependencies' ), array_intersect_key( $this->scripts, array_flip( $script['deps'] ) ) );
        }
    }

    private function _unset( $key, &$deps, &$out ) {
        $out[$key] = $this->scripts[$key];
        unset( $deps[$key] );
    }

    private function flattern( &$deps, &$out = array() ) {

        foreach( $deps as $key => $value ) {            
            empty($value) ? $this->_unset( $key, $deps, $out ) : $this->flattern( $deps[$key], $out );
        }
    }   

    function print_scripts() {

        if ( !$this->scripts ) return;

        $deps = array_map( array( $this, 'dependencies' ), $this->scripts );
        while ( $deps ) 
            $this->flattern( $deps, $js );

        foreach( $js as $key => $script ) {
            $script['data'] && printf( "<script> var %s = %s; </script>" . PHP_EOL, key( $script['data'] ), json_encode( current( $script['data'] ) ) );
            echo "<script id=\"$key-js\" src=\"$script[src]\" type=\"text/javascript\"></script>" . PHP_EOL;
        }
    }
}

Вызов функции enqueue_script() предназначен для добавления script, установки сума и зависимостей других скриптов и дополнительных данных, необходимых для script.

$header = new mHeader();

$header->enqueue_script( 'jquery-ui', '//ajax.googleapis.com/ajax/libs/jqueryui/1.10.4/jquery-ui.min.js', array( 'jquery' ) );
$header->enqueue_script( 'jquery', '//ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js' );
$header->enqueue_script( 'custom-script', '//custom-script.min.js', array( 'jquery-ui' ), array( 'mydata' => array( 'value' => 20 ) ) );

$header->print_scripts();

И, метод print_scripts() вышеприведенного примера отправит этот вывод:

<script id="jquery-js" src="//ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js" type="text/javascript"></script>
<script id="jquery-ui-js" src="//ajax.googleapis.com/ajax/libs/jqueryui/1.10.4/jquery-ui.min.js" type="text/javascript"></script>
<script> var mydata = {"value":20}; </script>
<script id="custom-script-js" src="//custom-script.min.js" type="text/javascript"></script>

Независимо от того, что script 'jquery' находится в очереди после "jquery-ui", он печатается раньше, потому что он определен в "jquery-ui", который зависит от "jquery". Дополнительные данные для "custom- script" находятся внутри нового блока script и расположены перед ним, он содержит объект mydata, который содержит дополнительные данные, теперь доступный для "custom-script".

Danijel 29 окт. 2014, в 20:48

9

попробуйте это

<?php
    echo "<script> var x = ". json_encode($phpVariable)."</script>";
?>

-

-После попытки этого на некоторое время Хотя он работает, однако он замедляет производительность. поскольку php является серверной стороной script, в то время как javascript является пользовательской стороной.

Yosra Nagati 02 сен. 2014, в 11:40

4

Мы ищем длинные ответы, которые дают некоторое объяснение и контекст. Не просто дать ответ в одну строку; объясните, почему ваш ответ правильный, в идеале с цитатами. Ответы, не содержащие объяснений, могут быть удалены. Это написано по вопросу.
Madara Uchiha♦ 02 сен. 2014, в 10:09
3

Ничего особенного, чтобы объяснить, запишите вашу переменную php в <скрипт тега>, который отображается в коде php
Yosra Nagati 02 сен. 2014, в 10:42
4

Уверены ли вы? Вы видели лучший ответ на этот вопрос? Это объясняет совсем немного. Не говоря уже о том, что ваше решение небезопасно. $phpVariable = '42"; alert("I am evil!");';
Madara Uchiha♦ 02 сен. 2014, в 10:43
9

это мое предложение, которое решило мою проблему, и я не нахожу его в предыдущих ответах, поэтому я добавил, в надежде, что кто-то найдет его интересным
Yosra Nagati 02 сен. 2014, в 10:49
1

здесь добавлено эхо, чтобы напечатать его на веб-странице, содержащей этот php-код, или это просто часть синтаксиса для помещения данных в переменную js. @ YosraNagati
SUMIT KUMAR SINGH 11 апр. 2015, в 08:20
0

это здесь, чтобы включить Javascript для доступа к нему
Yosra Nagati 14 апр. 2015, в 12:47

Показать ещё 4 комментария

7

myPlugin.start($val); // tried this, didn't work

Это не работает, потому что $val имеет значение undefined в отношении javascript, т.е. php ничего не выводил для $val. Попробуйте просмотреть источник в своем браузере, и вот что вы увидите:

myPlugin.start(); // tried this, didn't work

и

<?php myPlugin.start($val); ?> // this didn't work either

Это не работает, потому что php будет пытаться рассматривать myPlugin как константу, а когда это не удается, он попытается рассматривать его как строку 'myPlugin', которую он попытается связать с выходом функции php start(), и поскольку это undefined, это приведет к фатальной ошибке

и

 myPlugin.start(<?=$val?> // this works sometimes, but sometimes it fails

В то время как это, скорее всего, сработает, поскольку php генерирует действительный javascript с ожидаемыми аргументами, если он терпит неудачу, скорее всего, это потому, что myPlugin еще не готов. Проверьте порядок выполнения.

Также вы должны заметить, что php out put небезопасен и должен быть отфильтрован с помощью json_encode()

EDIT

Поскольку я не заметил отсутствующую скобку в myPlugin.start(<?=$val?>: -\

Как отмечает @Second Rikudo, для правильной работы $val необходимо было бы закрыть закрывающую скобку, например: $val="42);"

Значение, которое php теперь произведет myPlugin.start(42); и будет работать как ожидалось, когда выполняется javascript

andrew 19 май 2014, в 17:01

0

JSON кодирует ваши данные: myPlugin.start(<?=json_encode($val)?>);
kingprawn 30 янв. 2015, в 08:57

5

Я выступил с простым методом назначения переменных JavaScript с помощью PHP.

Он использует атрибуты данных HTML5 для хранения переменных PHP, а затем присваивается JavaScript при загрузке страницы.

Полный учебник можно найти здесь

Пример:

<?php

$variable_1 = "QNimate";
$variable_2 = "QScutter";

?>
    <span id="storage" data-variable-one="<?php echo $variable_1; ?>" data-variable-two="<?php echo $variable_2; ?>"></span>
<?php

Ее код JS

var variable_1 = undefined;
var variable_2 = undefined;

window.onload = function(){
    variable_1 = document.getElementById("storage").getAttribute("data-variable-one");
    variable_2 = document.getElementById("storage").getAttribute("data-variable-two");
}

qnimate 19 янв. 2015, в 15:28

2

Хотя атрибуты данных представляют собой разумное решение проблемы, вы сталкиваетесь с проблемой, аналогичной исходному вопросу, если не избегаете данных в них. Просто вам нужно избегать их для HTML вместо JS.
Quentin 19 авг. 2015, в 14:22

3

Преобразовать данные в JSON
Вызовите AJAX для получения файла JSON
Конвертировать JSON в объект Javascript

Пример:

ШАГ 1

<?php

   $servername = "localhost";
   $username = "";
   $password = "";
   $dbname = "";
   $conn = new mysqli($servername, $username, $password, $dbname);

   if ($conn->connect_error) {
      die("Connection failed: " . $conn->connect_error);
   } 

   $sql = "SELECT id, name, image FROM phone";
   $result = $conn->query($sql);

   while($row = $result->fetch_assoc()){ 
      $v[] = $row;    
   }

  echo json_encode($v);

  $conn->close();
?>

ШАГ 2

function showUser(fnc) {
   var xhttp = new XMLHttpRequest();

   xhttp.onreadystatechange = function() {
      if (this.readyState == 4 && this.status == 200) {
         // STEP 3    
         var p = JSON.parse(this.responseText);
      }
   }
}

DeV 19 июль 2018, в 13:38

3

Вот трюк:

вот ваш "PHP" для использования этой переменной:

<?php 
    $name = 'PHP variable';
    echo '<script>';
    echo 'var name = ' . json_encode($name) . ';';
    echo '</script>';
?>

Теперь у вас есть переменная JS с именем 'name', и вот ваш "Javascript" для использования этой переменной:
```
<script>
     console.log("i am everywhere " + name);
</script>
```

Ramin Taghizada 13 июль 2017, в 16:10

0

Есть ли способ получить его, чтобы он не печатался в исходном коде? У меня есть огромный массив, который я передаю, и он забивает источник.
William Howley 12 авг. 2017, в 18:06
1

Можете ли вы привести пример теста?
Ramin Taghizada 15 авг. 2017, в 13:22
0

Разве это не то же самое, что "3. Вывод данных прямо в JavaScript" в этом ответе ? Это выглядит даже лучше.
kanji 12 фев. 2018, в 12:04

Показать ещё 1 комментарий

3

вот один, который я не вижу в качестве опции. он похож на использование ajax, но явно отличается.

сначала установите источник script непосредственно в файл PHP.

<script type="text/javascript" src="url_to_your_php_file.php" /></script>

вы даже можете передать переменную обратно в файл PHP, такой как этот пример:

<script type="text/javascript" src="url_to_your_php_file.php?var1=value1" /></script>

затем в "your_php_file.php":

<?php
// THIS IS A SIMPLE EXAMPLE
// it demonstrates one method of using the src attribute to link
// to a PHP file which can generate javascripts dynamically
// and share data between PHP and javascript
// you may take this learning example and develop it further
// relying on your own coding skills for validating data
// and avoiding errors, of course
header( 'content-type: text/javascript' );

// if you pass a $_GET variable from the javascript
// you should add code to validate your $_GET variable(s)

// you can add code to query a database
// using $_GET['var1'] or some other criteria

// you can add simple variable assignments
$value = 'some value';

// for the OP needs (assumes the class object has been defined)
$val = $myService->getValue();

?>
function name() {
    // pay attention because you need to use quotes properly
    // and account for possible quotes in the variable strings
    // to avoid both php and javascript errors
    // example assumes $val has been returned as a string
    // validate $val as needed using your method of choice
    var example1 = '<?php echo '"' . $val . '"'; ?>';
    var example2 = '<?php echo '"' . $value . '"'; ?>';
    var example3 = '<?php echo '"some other data"'; ?>';
    alert( example1 + ' / ' + example2 );
}
<?php
// you may even want to include additional files (.php or .js, etc)
@include 'local_path_to_some_other_js_file.js';
@include 'local_path_to_some_other_php_file.php';

exit;
?>

aequalsb 18 май 2015, в 21:41

0

Поскольку переменная существует в скрипте PHP, который генерирует HTML, вы пропустили важный шаг динамической генерации var1=value1 . В существующем состоянии ваш скрипт сломается, если данные содержат символ ' .
Quentin 19 авг. 2015, в 14:18
0

@Quent в примере кода работает без ошибок, как представлено. это продемонстрировать использование. если программист настолько далеко занимается кодированием, он поймет значение одинарных кавычек / двойных кавычек в переменных $ _GET, которые в любом случае должны быть закодированы. var1 != [some HTML code] ... CLEARLY var1=="value1" . Проще говоря, вы не правы, что я что-то пропустил. скрипт EXAMPLE завершен, и, как вы можете видеть, не генерирует никакого HTML-кода, а OP не упоминал HTML. это не заслуживает понижения голоса каким-то триггером
aequalsb 20 авг. 2015, в 15:50
0

Код в вопросе демонстрирует, что ОП не понимает цитирование / экранирование. Недостаток понимания - вот и вся проблема! Хотя пример завершен, он не является примером того, как решить проблему, выраженную в вопросе.
Quentin 20 авг. 2015, в 16:07
0

@Quentin точно, как ОП показывает, что они не понимают цитирование / экранирование? это пример того, как решить проблему, потому что ОП спросил, как получить данные PHP в javascript - мой пример - один из методов, который не был отмечен ни в одном другом ответе.
aequalsb 20 авг. 2015, в 16:11
0

С этим фрагментом кода, который ничего не делает для экранирования или кодирования $val и который иногда работает, а иногда нет: myPlugin.start(<?=$val?> // this works sometimes, but sometimes it fails
Quentin 20 авг. 2015, в 16:12
0

Вопрос ОП заключается в том, как передавать переменные между - он не спрашивал подробностей о проверке или побеге. нам не нужно писать полное руководство по программированию, чтобы продемонстрировать примеры выполнения требований ОП или для других читателей.
aequalsb 20 авг. 2015, в 16:15
0

Проверка или экранирование - это важная часть работы с передачей данных, когда вы не знаете, какие символы могут в ней появляться (как здесь).
Quentin 20 авг. 2015, в 16:19
0

это пример варианта для обмена данными, а не полное руководство по кодированию - для этого и предназначен весь этот сайт. Вы не можете втиснуть весь сайт в каждый ответ. кроме того, держу пари, что вы даже не перечитали мой ответ с изменениями, так как вы заняты стрельбой недействительными отрицательными голосами ...
aequalsb 20 авг. 2015, в 16:22
0

Я мог бы быть более склонен изучить исправления, если бы вы сказали что-то вроде «Это хорошая точка зрения, я обновил ответ» вместо того, чтобы рассуждать о том, насколько это неактуально. addslashes , FWIW, является недостаточным , поскольку он не избежать всех символов , которые могут сломаться строковый литерал в JavaScript (символы новой строки будучи очевидным один). Всякий раз, когда addslashes выглядят как решение, возможно, есть что-то конкретное, что является лучшим выбором. json_encode в этом случае (как указано многими другими ответами здесь).
Quentin 20 авг. 2015, в 16:27
0

это НЕ хороший момент. я опубликовал, как и многие другие ответы, чтобы документировать различные методы обмена данными. ФП должен пересечь концептуальный мост ПЕРВЫМ - прежде чем они рассмотрят детали проверки. кроме того, я был бы менее склонен к разглагольствованиям (а я нет), если бы вы сказали: «Это хороший простой метод, было бы еще лучше, если бы вы упомянули важность проверки данных - подумайте об обновлении своего ответа?» вместо этого вы сначала понизите голос, и, возможно, заблокируете OP от того, чтобы у вас был момент "эврика" от просеивания примеров.
aequalsb 20 авг. 2015, в 16:37
0

Кроме того, я не ссылаюсь на $val в переменной $ _GET - это $var1 - потому что это пример ...
aequalsb 20 авг. 2015, в 16:40
0

Если ему не нужны параметры _POST _GET, которые не нужно экранировать, код будет полезен, если var является cookie или константой без передачи параметров в этот php-скрипт.
user4271704 26 нояб. 2015, в 10:17
0

@ user4271704 - cookie находится в браузере пользователя, и он так же уязвим, как и параметр URL-запроса, хотя им не так просто управлять.
Timm 11 окт. 2018, в 23:37

Показать ещё 11 комментариев

2

После долгих исследований я нашел самый простой способ легко передавать все виды переменных.

В сценарии сервера у вас есть две переменные, и вы пытаетесь отправить их клиентским сценариям:

$php_var1 ="Hello world";
$php_var2 ="Helloow";
echo '<script>';
echo 'var js_variable1= ' . json_encode($php_var1) . ';';
echo 'var js_variable2= ' . json_encode($php_var2) . ';';
echo '</script>';

В любом из ваших javascript, вызываемых на странице, просто вызывайте эти переменные.

Jonathan199 30 авг. 2018, в 09:51

1

пусть ваша переменная всегда целая, в этом случае это проще

<?PHP
$number = 4;

echo '<script>';
echo 'var number = ' . $number . ';';
echo 'alert(number);';
echo '</script>';

?>

выход:

<script>var number = 4;alert(number);</script>

скажем, ваша переменная не является целым числом, но если вы попробуете метод выше, вы получите что-то вроде этого:

<script>var number = abcd;alert(number);</script>

но в javascript это синтаксическая ошибка.

поэтому в php мы вызываем функцию json_encode которая кодирует строку для json-объекта.

<?PHP
$number = 'abcd';

echo '<script>';
echo 'var number = ' . json_encode($number) . ';';
echo 'alert(number);';
echo '</script>';

?>

поскольку abcd в json это "abcd", поэтому он выглядит так:

<script>var number = "abcd";alert(number);</script>

Вы можете использовать тот же метод для массивов:

<?PHP
$details = [
'name' => 'supun',
'age' => 456,
'weight' => '55'
];

echo '<script>';
echo 'var details = ' . json_encode($details) . ';';
echo 'alert(details);';
echo 'console.log(details);';
echo '</script>';

?>

и ваш javascript выглядит так:

<script>var details = {"name":"supun","age":456,"weight":"55"};alert(details);console.log(details);</script>

консольный выход

Supun Praneeth 08 июль 2018, в 14:54

1

Я предполагаю, что передаваемые данные являются строкой.

Как отмечают другие комментаторы, AJAX - одно из возможных решений, но недостатки превосходят плюсы: у него есть латентность, и сложнее запрограммировать (ему нужен код для извлечения значения как на стороне сервера, так и на стороне клиента) когда требуется более простая функция экранирования.

Итак, мы вернулись к побегу. json_encode($string) работает, если вы сначала кодируете исходную строку как UTF-8, если ее еще нет, потому что json_encode требует данных UTF-8. Если строка находится в ISO-8859-1, вы можете просто использовать json_encode(utf8_encode($string)); в противном случае вы всегда можете использовать iconv для выполнения преобразования.

Но там большая добыча. Если вы используете его в событиях, вам нужно запустить htmlspecialchars() в результате, чтобы сделать правильный код. И тогда вам нужно быть осторожным, чтобы использовать двойные кавычки для включения события или всегда добавлять ENT_QUOTES в htmlspecialchars. Например:

<?php
    $myvar = "I'm in \"UTF-8\" encoding and I have <script>script tags</script> & ampersand!";
    // Fails:
    //echo '<body onload="alert(', json_encode($myvar), ');">';
    // Fails:
    //echo "<body onload='alert(", json_encode($myvar), ");'>";
    // Fails:
    //echo "<body onload='alert(", htmlspecialchars(json_encode($myvar)), ");'>";

    // Works:
    //echo "<body onload='alert(", htmlspecialchars(json_encode($myvar), ENT_QUOTES), ");'>";
    // Works:
    echo '<body onload="alert(', htmlspecialchars(json_encode($myvar)), ');">';

    echo "</body>";

Однако вы не можете использовать htmlspecialchars для обычного JS-кода (код, заключенный в теги <script>... </script>). Это позволяет использовать эту функцию, подверженную ошибкам, забыв htmlspecialchars результат при написании кода события.

Можно написать функцию, которая не имеет этой проблемы, и может использоваться как в событиях, так и в регулярном JS-коде, если вы включаете свои события всегда в одинарные кавычки или всегда в двойные кавычки. Вот мое предложение, требующее, чтобы они были в двойных кавычках (что я предпочитаю):

<?php

// Optionally pass the encoding of the source string, if not UTF-8
function escapeJSString($string, $encoding = 'UTF-8')
{
    if ($encoding != 'UTF-8')
        $string = iconv($encoding, 'UTF-8', $string);
    $flags = JSON_HEX_TAG|JSON_HEX_AMP|JSON_HEX_APOS|JSON_HEX_QUOT|JSON_UNESCAPED_SLASHES;
    $string = substr(json_encode($string, $flags), 1, -1);
    return "'$string'";
}

Для функции требуется PHP 5.4+. Пример использования:

<?php
    $myvar = "I'm in \"UTF-8\" encoding and I have <script>script tags</script> & ampersand!";
    // Note use of double quotes to enclose the event definition!
    echo '<body onload="alert(', escapeJSString($myvar), ');">';
    // Example with regular code:
    echo '<script>alert(', escapeJSString($myvar), ');</script>';
    echo '</body>';

Pedro Gimeno 05 июнь 2016, в 19:43

0

В соответствии с вашим кодом

<$php
     $val = $myService->getValue(); // makes an api and db call
     echo '<span id="value">'.$val.'</span>';
$>

Теперь вы можете получить значение с помощью DOM, используйте innerHTML идентификатора span, в этом случае вам не нужно делать вызов на сервер или ajax или любую другую вещь.

Ваша страница будет печатать его с помощью php, и ваш javascript получит значение с помощью DOM.

Amit Shah 15 апр. 2015, в 11:28

0

Этот код уязвим для XSS, потому что он не экранирует символы, такие как < и > . Также подобные решения уже были предложены.
Michał Perłakowski 18 апр. 2017, в 10:26

-2

    <?php 
    $your_php_variable= 22;
    echo "<script type='text/javascript'>var your_javascript_variable = $your_php_variable;</script>";  
    ?>

и это сработает. Он просто назначает переменную javascript, а затем передает значение существующей переменной php. Поскольку php записывает здесь строки javascript, он имеет значение переменной php и может передавать ее напрямую.

Neo 01 авг. 2017, в 05:51

-3

Для тех, у кого есть проблемы с использованием кода ниже, и он продолжает показывать <?php echo $username?> или что-то вроде этого. Редактируйте httpd.conf в разделе mime_module, добавив это приложение AddType/x-httpd-php.html.htm. потому что по умолчанию он может быть отключен.

   <?php
        $username = 1;
    ?>

    <script type="text/javascript">
        var myData = <?php echo $username ?>;
        console.log(myData);
        alert(myData);
    </script>

Tapasit Suesasiton 21 дек. 2015, в 18:00

0

@MadaraUchiha вы можете объяснить, почему?
Nikita 웃 02 янв. 2016, в 17:17
2

Потому что если $username === "hello" , то у вас есть var myData = hello; который ужасно сломается.
Madara Uchiha♦ 02 янв. 2016, в 17:43

-5

 <script>
     window.$val = '$myService->getValue()';
 </script>

Niladri 17 апр. 2017, в 22:59

-10

Вы можете использовать его:

<script language='javascript'> var a=<?php echo $a;?>; </script>

и помните, что php перед выполнением, когда закончить запуск javascript для запуска. aren't parallels, являются секвенциальными.

Doberon 05 июнь 2015, в 19:19

Ещё вопросы

Была ли пропущенная закрывающая скобка в myPlugin.start(<?=$val?> ? Правда ли, что «это иногда работает»?
Ну, на самом деле это был Бен, но давайте просто скажем, что если $ val равен "42)" это будет хорошо работать: D
Nitpick: нет такой вещи как «объект JSON» (кроме того, который имеет методы parse и stringify ). JSON по определению является последовательностью символов.
@cHao в более общем смысле - кодировки определяются как последовательность символов, а существование концептуальных объектов является философским. Однако существуют такие вещи, как объекты JSON, и они определяются грамматикой JSON. {} является допустимым объектом JSON - см. json.org
Если вы используете это определение, тогда все «объекты JSON» действительны в JS.
@cHao обратите внимание на тонкость: в JavaScript есть понятие объекта, а в JSON есть понятие объекта - они не одинаковы. Когда люди неправильно используют термин «объект JSON», они имеют в виду объект JS, где на земле JavaScript - JSON используется в качестве формата сериализации данных, а объекты JSON появляются внутри строк (что-то вроде запросов SQL в серверных языках). Однако в этом ответе метод JSON основан на том факте, что большинство объектов JSON также являются допустимыми объектами JavaScript, поэтому мы записываем объект JSON в код JavaScript.
JSON - это строгое подмножество синтаксиса JS для литералов. Если это допустимый JSON как текст, то по определению это уже допустимый JS, когда отображается как код.
@cHao JSON на самом деле не является строгим подмножеством синтаксиса JS для литералов, однако - да, это хитрость :)
Хорошо, вам нужно показать этот действительный JSON, который будет недействительным JS. Потому что я, конечно, не видел это.
@cHao Ах, но я предвидел этот момент вчера :) stackoverflow.com/questions/23752156/…
ОК, ты меня там :) Это все еще безопасно, хотя; Поведение по умолчанию в PHP - экранировать такие символы (вместе с другими не-ASCII-символами), чтобы они никогда не \u2028 в вывод, кроме как \u2028 и т. Д. Вы должны явно указать, чтобы это не \u2028 .
почему я должен дезинфицировать данные? Я отправляю его с сервера, и я полностью осознаю, что это такое, тогда зачем дезинфицировать?
@avi: доверять поступающим данным - значит доверять их источнику. И под «источником» я имею в виду не только скрипт-обработчик ajax вашего сервера - я также имею в виду код, который хранит используемые данные, и любого пользователя, который может иметь входные данные, которые используются, и (если вы не используете HTTPS) даже маршрутизаторы между пользователем и вашим сервером, которые передают данные вместе. Если вы можете доказать, что инъекция абсолютно невозможна, очистка может быть излишней. Но этот уровень уверенности довольно редко.
Этот ответ на самом деле кажется мне наиболее простым для большинства людей. Вы заработали upvote!
Я согласен, не желая переоценивать и реализовывать причудливое решение для простой проблемы. Этот метод отделяет PHP от Javascript, так что PHP по-прежнему генерирует только HTML, в то время как Javascript может быть внешним по отношению к файлу PHP.
Я согласен, что это лучший вариант. Это решает все проблемы безопасности, без задержки. Вы можете полностью исключить JS из своих HTML-страниц. HTML должен обслуживаться сервером приложений, а JS (и CSS) - нет. Это также более семантически.
Это сломается, если данные содержат " символы». Вам нужно экранировать данные для HTML, прежде чем вывести их в значение атрибута.
@Quentin Вы должны экранировать ВСЕ выходные данные, если только вывод не является самим HTML.
@asdasd - Да, я просто решил конкретную проблему с кодом в вашем ответе, а не в общем случае.
Если пользователь может манипулировать данными, отображаемыми в PHP, вам нужно использовать функцию htmlspecialchars (), чтобы убедиться, что HTML верен. Возьмем сценарий, в котором $myService->getValue() возвращает вредоносную строку "> <script>...Enter JavaScript that watches for the user to input credit card info or passwords on the site</script> вводил "> <script>...Enter JavaScript that watches for the user to input credit card info or passwords on the site</script>
Это выглядит лучшим решением для меня, как говорят другие люди в своих комментариях. Есть ли какая-либо разница или предпочтение использовать другие теги, такие как script или meta , вместо div ? Интересно, есть ли лучшая практика для такого рода использования тегов.
@ кандзи - нет лучшей практики; div отлично, но вы можете использовать любой тег, который вам нравится; должен быть в body хотя.
Просто не забудьте скрыть контейнер службы: <div class="service-container" data-service="..." style="display:none;"><\div> .
Какую ценность это добавляет к существующим ответам?
Сохраняя это простым и прямым. Для всех пользователей, у которых есть много времени, чтобы углубиться в глубокие объяснения
Почему это было отвергнуто? Это самое простое рабочее решение.
Может быть, это глупый вопрос, но я абсолютно новичок в мире PHP. Как только мы напишем приведенный выше код в файле .php, как мне получить доступ к «js_variable» в моем файле JavaScript или в моем файле «index.html»?
@AnkitPrajapati Попробуйте получить к нему доступ, проверив состояние готовности документа. Используя следующий скрипт. document.onreadystatechange = () => { if (document.readyState === 'complete') { // document ready alert(js_variable) } };
@Nishant: Спасибо за ответ. Оценил. Я постараюсь и дам вам знать. Или, может быть, я буду использовать куки. :)
Мы ищем длинные ответы, которые дают некоторое объяснение и контекст. Не просто дать ответ в одну строку; объясните, почему ваш ответ правильный, в идеале с цитатами. Ответы, не содержащие объяснений, могут быть удалены. Это написано по вопросу.
Ничего особенного, чтобы объяснить, запишите вашу переменную php в <скрипт тега>, который отображается в коде php
Уверены ли вы? Вы видели лучший ответ на этот вопрос? Это объясняет совсем немного. Не говоря уже о том, что ваше решение небезопасно. $phpVariable = '42"; alert("I am evil!");';
это мое предложение, которое решило мою проблему, и я не нахожу его в предыдущих ответах, поэтому я добавил, в надежде, что кто-то найдет его интересным
здесь добавлено эхо, чтобы напечатать его на веб-странице, содержащей этот php-код, или это просто часть синтаксиса для помещения данных в переменную js. @ YosraNagati
это здесь, чтобы включить Javascript для доступа к нему
JSON кодирует ваши данные: myPlugin.start(<?=json_encode($val)?>);
Хотя атрибуты данных представляют собой разумное решение проблемы, вы сталкиваетесь с проблемой, аналогичной исходному вопросу, если не избегаете данных в них. Просто вам нужно избегать их для HTML вместо JS.
Есть ли способ получить его, чтобы он не печатался в исходном коде? У меня есть огромный массив, который я передаю, и он забивает источник.
Можете ли вы привести пример теста?
Разве это не то же самое, что "3. Вывод данных прямо в JavaScript" в этом ответе ? Это выглядит даже лучше.
Поскольку переменная существует в скрипте PHP, который генерирует HTML, вы пропустили важный шаг динамической генерации var1=value1 . В существующем состоянии ваш скрипт сломается, если данные содержат символ ' .
@Quent в примере кода работает без ошибок, как представлено. это продемонстрировать использование. если программист настолько далеко занимается кодированием, он поймет значение одинарных кавычек / двойных кавычек в переменных $ _GET, которые в любом случае должны быть закодированы. var1 != [some HTML code] ... CLEARLY var1=="value1" . Проще говоря, вы не правы, что я что-то пропустил. скрипт EXAMPLE завершен, и, как вы можете видеть, не генерирует никакого HTML-кода, а OP не упоминал HTML. это не заслуживает понижения голоса каким-то триггером
Код в вопросе демонстрирует, что ОП не понимает цитирование / экранирование. Недостаток понимания - вот и вся проблема! Хотя пример завершен, он не является примером того, как решить проблему, выраженную в вопросе.
@Quentin точно, как ОП показывает, что они не понимают цитирование / экранирование? это пример того, как решить проблему, потому что ОП спросил, как получить данные PHP в javascript - мой пример - один из методов, который не был отмечен ни в одном другом ответе.
С этим фрагментом кода, который ничего не делает для экранирования или кодирования $val и который иногда работает, а иногда нет: myPlugin.start(<?=$val?> // this works sometimes, but sometimes it fails
Вопрос ОП заключается в том, как передавать переменные между - он не спрашивал подробностей о проверке или побеге. нам не нужно писать полное руководство по программированию, чтобы продемонстрировать примеры выполнения требований ОП или для других читателей.
Проверка или экранирование - это важная часть работы с передачей данных, когда вы не знаете, какие символы могут в ней появляться (как здесь).
это пример варианта для обмена данными, а не полное руководство по кодированию - для этого и предназначен весь этот сайт. Вы не можете втиснуть весь сайт в каждый ответ. кроме того, держу пари, что вы даже не перечитали мой ответ с изменениями, так как вы заняты стрельбой недействительными отрицательными голосами ...
Я мог бы быть более склонен изучить исправления, если бы вы сказали что-то вроде «Это хорошая точка зрения, я обновил ответ» вместо того, чтобы рассуждать о том, насколько это неактуально. addslashes , FWIW, является недостаточным , поскольку он не избежать всех символов , которые могут сломаться строковый литерал в JavaScript (символы новой строки будучи очевидным один). Всякий раз, когда addslashes выглядят как решение, возможно, есть что-то конкретное, что является лучшим выбором. json_encode в этом случае (как указано многими другими ответами здесь).
это НЕ хороший момент. я опубликовал, как и многие другие ответы, чтобы документировать различные методы обмена данными. ФП должен пересечь концептуальный мост ПЕРВЫМ - прежде чем они рассмотрят детали проверки. кроме того, я был бы менее склонен к разглагольствованиям (а я нет), если бы вы сказали: «Это хороший простой метод, было бы еще лучше, если бы вы упомянули важность проверки данных - подумайте об обновлении своего ответа?» вместо этого вы сначала понизите голос, и, возможно, заблокируете OP от того, чтобы у вас был момент "эврика" от просеивания примеров.
Кроме того, я не ссылаюсь на $val в переменной $ _GET - это $var1 - потому что это пример ...
Если ему не нужны параметры _POST _GET, которые не нужно экранировать, код будет полезен, если var является cookie или константой без передачи параметров в этот php-скрипт.
@ user4271704 - cookie находится в браузере пользователя, и он так же уязвим, как и параметр URL-запроса, хотя им не так просто управлять.
Этот код уязвим для XSS, потому что он не экранирует символы, такие как < и > . Также подобные решения уже были предложены.
@MadaraUchiha вы можете объяснить, почему?
Потому что если $username === "hello" , то у вас есть var myData = hello; который ужасно сломается.

Madara Uchiha · Accepted Answer · 2014-05-19T15-56-00.000Z

На самом деле существует несколько способов сделать это. Некоторым требуется больше накладных расходов, чем другие, а некоторые считаются лучше других.

Без особого порядка:

Используйте AJAX для получения необходимых данных с сервера.
Выбросьте данные на страницу где-нибудь и используйте JavaScript для получения информации из DOM.
Отбросить данные непосредственно на JavaScript.

В этом сообщении мы рассмотрим каждый из вышеперечисленных методов и рассмотрим все плюсы и минусы каждого, а также как их реализовать.

1. Используйте AJAX для получения необходимых данных с сервера

Этот метод считается лучшим, потому что ваши сценарии на стороне сервера и на стороне клиента полностью разделены.

Pros

Лучшее разделение между слоями. Если завтра вы перестанете использовать PHP и хотите перейти на сервлет, REST API или какую-либо другую услугу, вам не придется менять большую часть JavaScript код.
Более читаемый. JavaScript - это JavaScript, PHP - PHP. Без смешивания двух вы получите более читаемый код на обоих языках.
Разрешает передачу данных async. Получение информации от PHP может быть дорогостоящим временем/ресурсами. Иногда вы просто не хотите ждать информации, загружать страницу и получать информацию всякий раз.
Данные не отображаются непосредственно в разметке. Это означает, что ваша разметка не очищается от каких-либо дополнительных данных, и только JavaScript видит ее.

Против

Задержка. AJAX создает HTTP-запрос, а HTTP-запросы переносятся по сети и имеют сетевые задержки.
Состояние. Данные, полученные с помощью отдельного HTTP-запроса, не будут содержать никакой информации из HTTP-запроса, который извлекал HTML-документ. Вам может понадобиться эта информация (например, если HTML-документ создается в ответ на отправку формы), и если вам это нужно, вам придется каким-то образом передать его. Если вы исключили вложение данных на странице (которые у вас есть, если вы используете эту технику), это ограничивает вас куки/сеансы, которые могут быть подвергнуты условиям гонки.

Пример реализации

С AJAX вам нужны две страницы, одна из которых - PHP, генерирующая вывод, а вторая - где JavaScript получает этот вывод:

Get-data.php

/* Do some operation here, like talk to the database, the file-session
 * The world beyond, limbo, the city of shimmers, and Canada.
 * 
 * AJAX generally uses strings, but you can output JSON, HTML and XML as well. 
 * It all depends on the Content-type header that you send with your AJAX
 * request. */

echo json_encode(42); //In the end, you need to echo the result. 
                      //All data should be json_encode()d.

                      //You can json_encode() any value in PHP, arrays, strings,
                      //even objects.

index.php(или независимо от того, какая фактическая страница названа так)

<!-- snip -->
<script>
    function reqListener () {
      console.log(this.responseText);
    }

    var oReq = new XMLHttpRequest(); //New request object
    oReq.onload = function() {
        //This is where you handle what to do with the response.
        //The actual data is found on this.responseText
        alert(this.responseText); //Will alert: 42
    };
    oReq.open("get", "get-data.php", true);
    //                               ^ Don't block the rest of the execution.
    //                                 Don't wait until the request finishes to 
    //                                 continue.
    oReq.send();
</script>
<!-- snip -->

Вышеуказанная комбинация двух файлов будет предупреждать 42, когда файл завершит загрузку.

Несколько дополнительных материалов для чтения

2. Повторите отправку данных на страницу и используйте JavaScript для получения информации из DOM

Этот метод менее предпочтителен для AJAX, но он все еще имеет свои преимущества. Он все еще относительно разделен между PHP и JavaScript в том смысле, что в JavaScript нет PHP.

Pros

Быстрый - операции DOM часто бывают быстрыми, и вы можете быстро хранить и получать доступ к большому количеству данных.

Против

Потенциально несекретная разметка. Обычно происходит то, что вы используете какой-то <input type=hidden> для хранения информации, потому что проще получить информацию из inputNode.value, но это означает, что что у вас есть бессмысленный элемент в вашем HTML. HTML имеет элемент <meta> для данных о документе, а в HTML 5 вводятся атрибуты data-* для данных, специально предназначенных для чтения с помощью JS, которые могут быть связаны с определенными элементами.
Dirties up the Source. Данные, генерируемые PHP, выводятся непосредственно в исходный HTML-код, что означает, что вы получаете больший и менее сфокусированный источник HTML.
Сложнее получить структурированные данные. Структурированные данные должны быть действительными HTML, иначе вам придется избегать и преобразовывать строки самостоятельно.
Плотно привязайте PHP к логике данных. Поскольку PHP используется в презентации, вы не можете отделить эти два.

Пример реализации

При этом идея состоит в том, чтобы создать какой-то элемент, который не будет отображаться для пользователя, но будет виден JavaScript.

index.php

<!-- snip -->
<div id="dom-target" style="display: none;">
    <?php 
        $output = "42"; //Again, do some operation, get the output.
        echo htmlspecialchars($output); /* You have to escape because the result
                                           will not be valid HTML otherwise. */
    ?>
</div>
<script>
    var div = document.getElementById("dom-target");
    var myData = div.textContent;
</script>
<!-- snip -->

3. Echo данные непосредственно на JavaScript

Это, наверное, проще всего понять, и наиболее ужасно использовать. Не делайте этого, если не знаете, что делаете.

Pros

Очень легко реализовано. Это очень мало для реализации и понимания.
Не загрязняет источник. Переменные выводятся непосредственно на JavaScript, поэтому DOM не затрагивается.

Против

Небезопасно. PHP не имеет тривиальных функций escape-кода JavaScript, и они не являются тривиальными для реализации. Особенно при использовании пользовательских входов вы чрезвычайно уязвимы для инъекций второго уровня. Спорный см. комментарии
Плотно привязайте PHP к логике данных. Поскольку PHP используется в презентации, вы не можете отделить эти два.
Структурированные данные трудны. Возможно, вы можете сделать JSON... kinda. Но XML и HTML потребуют особого внимания.

Пример реализации

Реализация относительно проста:

<!-- snip -->
<script>
    var data = <?php echo json_encode("42", JSON_HEX_TAG); ?>; //Don't forget the extra semicolon!
</script>
<!-- snip -->

Удачи!

«В PHP нет тривиальных функций выхода из JavaScript» - Что не так с json_encode ?
Я не согласен с "Очень небезопасно!" и «Структурированные данные сложно». Кодируйте данные как JSON (в конце концов, JavaScript Object Notation), и все!
Как насчет значительных накладных расходов и сложности кода, которые вносит асинхронность при выполнении запроса AJAX? При работе с легким веб-сайтом JavaScript создание AJAX-запроса утомительно и не является наилучшей практикой.
@ el.pescado Многие JS-объекты являются недопустимыми JSON и наоборот , хотя я согласен с тем, что для среднего случая json-кодирование работает.
@BenjaminGruenbaum - JS является недействительным JSON не имеет значения. Я не могу думать ни о каком JSON, который недопустим в JavaScript справа от назначения.
Каково ваше мнение об использовании какой-либо системы шаблонов, которая не обязательно зависит от PHP? Например, <script>var data = {my_variable};</script> в вашем шаблоне и $my_template->bind('my_variable', 42); $my_template->display(); в вашем PHP. Позже вы решите переключиться на C # и получить библиотеку C # для вашей конкретной системы шаблонов, и ничего в шаблоне не изменится. Теперь ваш myTemplate.Bind("my_variable", 42); myTemplate.Display(); читает myTemplate.Bind("my_variable", 42); myTemplate.Display();
Он не сильно отличается от подхода 3, за исключением того, что он не такой гибкий. @Брайан
Не могли бы вы уточнить? Предполагая, что у вас есть надежный шаблонизатор с доступными библиотеками на нескольких языках, я не думаю, что какие-либо минусы, перечисленные в # 3, применимы. (Правда, я не знаю о хорошем движке, доступном на нескольких языках в реальном мире, но говорю теоретически.) Я вижу «менее гибкий», поскольку вы будете ограничены возможностями движка шаблонов, а не полным рекомендуемый язык ... но это также поможет вам избежать ловушек бизнес-логики в вашей презентации. Конечно, пользовательский ввод может быть проблемой, но очистка пользовательского ввода всегда является проблемой.
@BrianS просто примечание - если вы запускаете PHP в .net, а затем обращаетесь к нему через C #, если хотите.
@SecondRikudo В методе 2, в примере, данные печатаются в значение узла текстового узла HTML. Проблемы заключаются в следующем: (i.) Пробелы и символы новой строки могут быть испорчены (по крайней мере, это то, что jQuery говорит о .text() ) (может быть нежелательно). (ii.) Поисковые системы будут думать, что это контент, и отображать его в поисковой выдаче (это может быть нежелательно). Не уверен, что печать данных в атрибуты узла HTML (например, HTML5 data-* ) может решить (i.), Но может определенно решить (ii.).
@SecondRikudo В любом случае, я предлагаю вам разбить метод 2 на 2a (использовать значение текстового узла) и 2b (использовать атрибут узла) и перечислить все плюсы и минусы (если один не определенно лучше другого).
@SecondRikudo В методе 3 этот пример может убить сайт. Пример: <?php $output = '<!--<script>'; echo json_encode($output); ?> Смотрите этот вопрос для деталей. Решение: используйте JSON_HEX_TAG для выхода из < и > (требуется PHP 5.3.0).
@SecondRikudo Еще один «жулик», который вы можете добавить. Для метода 1 поисковые системы не увидят данные, потому что они не выполняют Javascript (в основном), поэтому, если содержимое представлено из этих данных, ваша веб-страница будет иметь меньше контента для поисковых систем, чем в Javascript. браузеры. То же самое относится и к методу 3, потому что данные находятся внутри тегов Javascript. Для метода 2 данные могут выглядеть искаженными, но они, по крайней мере, видны поисковым системам.
Google выполняет JavaScript. Так что у этого аргумента было мало достоинств. @Pang
Я думаю, что этот ответ достаточно предвзят, что он на самом деле вводит в заблуждение.
@ Райан Ну, трудно понять, что не так с этим комментарием. Если вы чувствуете, что можете сделать лучше, пожалуйста, ответьте. Если это будет лучше, чем этот, я перенесу к вам знак подтверждения.
«Потенциально несемантическая разметка»: люди больше не используют <input type = "hidden">. Атрибуты data- * являются подходящими и не являются семантическими. «Загрязнение источника»: если вам все равно нужно использовать AJAX, то это может быть правдой, но если это имеет отношение к контексту, то оно должно куда-то идти. «Труднее получить структурированные данные»: не совсем так. Будь то JSON в HTTP-запросе или атрибут data- *, не имеет большого значения. Но верно для двоичных данных. «Сильно связывает PHP с логикой данных» Данные должны быть каким-то образом связаны с представлением. И развязка имеет накладные расходы с точки зрения производительности и сложности.
«Люди больше не используют X», вы удивитесь. HTML для контента, а не данных. Атрибуты data- * сегодня почти всегда злоупотребляют, чтобы нарушить разделение интересов. Как вы тестируете код, который был сгенерирован на стороне сервера? Как вы издеваетесь над данными в демонстрационных целях?
var data = <? php echo json_encode ("42"); ?>; больше не похоже на работу. Возвращает ошибку «неожиданный токен <». Любые намеки на правильный синтаксис здесь?
Нашел ответ: см. Abeautifulsite.net/passing-data-from-php-to-javascript
Примечание: метод 3 небезопасен, если вы выводите введенные пользователем данные. Вы должны либо добавить /* <![CDATA[ */ before и /* ]]> */ после кода, либо использовать параметр JSON_HEX_TAG в json_encode ; в противном случае он открывает ваш сайт для атаки. Как отметил Панг , если вместо "42" задано "<!--<script>" , это может привести к поломке DOM .
@HutchMoore Добавление CDATA было требованием, когда мы все еще использовали XHTML, он не имеет никакого смысла в HTML5, не требуется и не будет иметь никаких преимуществ для безопасности. Что означает <! [CDATA [в XML?
@MadaraUchiha, ой, ты прав. Я не уверен, что я думал там. (Однако, это предотвратило бы эту атаку в XHTML, верно?) Однако мое последнее замечание о JSON_HEX_TAG остается в JSON_HEX_TAG .
«Мир за его пределами, неопределенность, город мерцаний и Канады». Вот куда идут все данные, мои парни. Канада. В любом случае, моя единственная проблема в том, что это означает, что данные, которые мы хотим в первом примере, асинхронны. Однако, если мы генерируем jQuery для стилизации страницы, последний сценарий использования является самым простым. Второй пример - более чистый и надежный метод по сравнению с третьим, поскольку он по своей природе прост для чтения. Для конечного пользователя, они не могут видеть это, поэтому грабя воды на 2 мили впереди, зритель не увидит, кроме передней части того, что они смотрят. Конец аналогии.
Одна большая проблема с третьим подходом состоит в том, что он ломается, если у вас есть политика CSP, которая не разрешает использование unsafe-inline для script-src . Это основной драйвер для желания использовать один из двух других подходов, хотя Использование ajax для извлечения отдельных значений (которые вы, вероятно, имеете в виду при запуске PHP страницы) является расточительным и неэффективным, что означает, что второй подход легче всего жить. Простой способ обработки больших элементов данных - поместить данные в элемент script с типом application/json , который не сломает CSP.
В этой статье также рекомендуется печатать данные в DOM вместо использования AJAX и использовать json_encode($data, JSON_HEX_TAG | JSON_UNESCAPED_SLASHES); mathiasbynens.be/notes/json-dom-csp
Четвертым решением было бы динамическое создание внешнего файла JavaScript, у которого было бы преимущество отделять HTML-код от данных, избегать ненужных операций DOM и быть совместимым с CSP (как писал @Synchro), но он поставляется с дополнительным HTTP-запросом. Я не уверен, что это лучшее решение. Кто-то написал ответ об этом решении здесь: stackoverflow.com/questions/23740548/…