alerte php et javascript qui contient une chaîne avec guillemet double

Question

Ceci est un exemple de chaîne que je devrais afficher dans une alerte javascript();

string with "double quote" in it

Parce que cette chaîne peut être modifiée via PHP par mes utilisateurs, il est préférable de prévenir les attaques XSS. Pour faire ainsi dans le HTML de mon document je fais habituellement:

<?php echo(htmlspecialchars($MY_STRING, ENT_QUOTES, 'UTF-8')); ?> 

Cela fonctionne très bien.

Mais maintenant, je viens de remarquer que si je sortie la même chaîne dans une alerte javascript:

<script> 
alert("<?php echo(htmlspecialchars($MY_STRING, ENT_QUOTES, 'UTF-8')); ?>"); 
</script> 

La sortie de l'alerte dans ce cas est:

string with "double quote" in it

Quelle est la meilleur moyen de sortir les guillemets dans une alerte, mais aussi préventig XSS injection?

Answer 1

ENT_NOQUOTES drapeau assure toutes les citations »et« ne sont pas échappés et le addslashes leur échappe pour la js fonction d'alerte

$string = 'string<< with "double quote" in it'; 
echo htmlentities(addslashes($string), ENT_NOQUOTES); 

Sortie:.

string<< with \"double quote\" in it 

permet de ranger vos citations et échappe les balises HTML malveillants

Answer 2

alert("<?php echo(addslashes($MY_STRING)); ?>"); 

Utilisez addslashes() plutôt que htmlspecialchars() ou combiner les deux. J'espère que cela aide.

addslashes()http://php.net/manual/en/function.addslashes.php

Answer 3

Tout à l'intérieur d'alerte est traitée comme une chaîne et ne sera pas exécutée, de sorte que vous n'obtenir une attaque XSS si vous assurez-vous qu'il est un singlestring par juste échapper à la "

pour

une alerte vous n'avez pas besoin d'utiliser htmlspecialchars, vous pouvez simplement le faire comme ceci:

<script> 
    alert("<?php echo addslashes($MY_STRING); ?>"); 
</script> 

(strip_tags (...))