Pase una cadena PHP a una variable JavaScript (y escape de nuevas líneas) [duplicar]

Codifícalo con JSON

function escapeJavaScriptText($string)
{
    return str_replace("\n", '\n', str_replace('"', '\"', addcslashes(str_replace("\r", '', (string)$string), "\0..\37'\\")));
}

He tenido un problema similar y entiendo que la siguiente es la mejor solución:

<script>
    var myvar = decodeURIComponent("<?php echo rawurlencode($myVarValue); ?>");
</script>

Sin embargo, el enlace que micahwittman publicó sugiere que hay algunas diferencias de codificación menores. La función rawurlencode() de PHP se supone que cumple con RFC 1738, mientras que parece que no ha habido tal esfuerzo con decodeURIComponent() de Javascript.

La versión paranoica: Escapando cada personaje.

function javascript_escape($str) {
  $new_str = '';

  $str_len = strlen($str);
  for($i = 0; $i < $str_len; $i++) {
    $new_str .= '\\x' . sprintf('%02x', ord(substr($str, $i, 1)));
  }

  return $new_str;
}

EDITAR: La razón por la que json_encode() puede no ser apropiado es que a veces, necesita evitar que " se genere, por ejemplo,

<div onclick="alert(???)" />

<script>
var myVar = <?php echo json_encode($myVarValue); ?>;
</script>

O

<script>
var myVar = <?= json_encode($myVarValue) ?>;
</script>

La solución de Micah a continuación funcionó para mí, ya que el sitio que tuve que personalizar no estaba en UTF-8, por lo que no pude usar json; lo votaría, pero mi reputación no es lo suficientemente alta.

function escapeJavaScriptText($string) 
{ 
    return str_replace("\n", '\n', str_replace('"', '\"', addcslashes(str_replace("\r", '', (string)$string), "\0..\37'\\"))); 
} 

Htmlspecialchars

Descripción

string htmlspecialchars ( string $string [, int $quote_style [, string $charset [, bool $double_encode ]]] )

Ciertos caracteres tienen un significado especial en HTML, y deben ser representados por entidades HTML si quieren preservar sus significados. Esta función devuelve una cadena con algunas de estas conversiones realizadas; las traducciones realizadas son las más útiles para la programación web diaria. Si necesita que se traduzcan todas las entidades de caracteres HTML, utilice htmlentities () en su lugar.

Esta función es útil para evitar que el usuario texto que contiene marcado HTML, como en un tablero de mensajes o una aplicación de libro de visitas.

Las traducciones realizadas son:

* '&' (ampersand) becomes '&'
* '"' (double quote) becomes '"' when ENT_NOQUOTES is not set.
* ''' (single quote) becomes ''' only when ENT_QUOTES is set.
* '<' (less than) becomes '&lt;'
* '>' (greater than) becomes '&gt;'

Http://ca.php.net/htmlspecialchars

Puede insertarlo en un DIV oculto, luego asignar el innerHTML del DIV a su variable JavaScript. No tienes que preocuparte por escapar de nada. Solo asegúrese de no poner HTML roto allí.

Usted podría intentar

<script type="text/javascript">
    myvar = unescape('<?=rawurlencode($myvar)?>');
</script>

No lo ejecute addslashes(); si está en el contexto de la página HTML, el analizador HTML todavía puede ver la etiqueta </script>, incluso la cadena intermedia, y asumir que es el final del JavaScript:

<?php
    $value = 'XXX</script><script>alert(document.cookie);</script>';
?>

<script type="text/javascript">
    var foo = <?= json_encode($value) ?>; // Use this
    var foo = '<?= addslashes($value) ?>'; // Avoid, allows XSS!
</script>

1. No lo haga. Use Ajax, póngalo en los atributos data-* en su HTML, o algo más significativo. El uso de scripts en línea hace que sus páginas sean más grandes, y podría ser inseguro o aún permitir que los usuarios arruinen el diseño , a menos que {

2. Make haces una función más segura:

   function inline_json_encode($obj) {
       return str_replace('<!--', '<\!--', json_encode($obj));
   }
   

No estoy seguro de si esto es una mala práctica o no, pero mi equipo y yo hemos estado usando una solución mixta de html, JS y php. Comenzamos con la cadena PHP que queremos extraer en una variable JS, llamémosla:

$someString

Luego usamos elementos de formulario ocultos en la página, y su valor se establece como la cadena:

<form id="pagePhpVars" method="post">
<input type="hidden" name="phpString1" id="phpString1" value="'.$someString.'" />
</form>

Entonces es una simple cuestión de definir un JS var a través de documento.getElementById:

<script type="text/javascript" charset="UTF-8">
    var moonUnitAlpha = document.getElementById('phpString1').value;
</script>

Ahora puede usar la variable JS "moonUnitAlpha" en cualquier lugar que desee tomar ese PHP valor de cadena. Esto parece funcionar muy bien para nosotros. Veremos si aguanta el uso pesado.

Si usas un motor de plantillas para construir tu HTML, entonces puedes llenarlo con lo que quieras.

Echa un vistazo a XTemplates. Es un motor de plantilla agradable, de código abierto y ligero.

Su HTML / JS se vería así:

<script>
    var myvar = {$MyVarValue};
</script>