Ceci est un exemple de chaîne que je devrais afficher dans une alerte javascript();alerte php et javascript qui contient une chaîne avec guillemet double
string with "double quote" in it
Parce que cette chaîne peut être modifiée via PHP par mes utilisateurs, il est préférable de prévenir les attaques XSS. Pour faire ainsi dans le HTML de mon document je fais habituellement:
<?php echo(htmlspecialchars($MY_STRING, ENT_QUOTES, 'UTF-8')); ?>
Cela fonctionne très bien.
Mais maintenant, je viens de remarquer que si je sortie la même chaîne dans une alerte javascript:
<script>
alert("<?php echo(htmlspecialchars($MY_STRING, ENT_QUOTES, 'UTF-8')); ?>");
</script>
La sortie de l'alerte dans ce cas est:
string with "double quote" in it
Quelle est la meilleur moyen de sortir les guillemets dans une alerte, mais aussi préventig XSS injection?
'' * de addslashes * devrait faire le travail ... vous pourriez – CD001
mettez-le dans un div avant d'alerter: http: // stackoverfl ow.com/a/14937257/1921862 – Fels