Comment échapper à un seul devis?

Je suis en train d'écrire un peu de code JavaScript qui utilise une chaîne de rendu avec PHP. Comment puis-je échapper les apostrophes (et seulement les guillemets simples) dans mon string PHP?

<script type="text/javascript">
    $('#myElement').html('say hello to <?php echo $mystringWithSingleQuotes ?>');
</script>
  • Vous aurez besoin de s'échapper plus que de simples citations. Les retours à la ligne, pour une. Vous pourriez bien faire avec quelque chose comme addcslashes($mystringWithSingleQuotes, "'\"\r\n\\\t\0..\37")
  • Au lieu de manipuler la fuite face à vous-même, utilisez json_encode() pour obtenir un Javascript valide chaîne (et supprimer votre extérieur des guillemets simples).
  • Vous pouvez poster votre réponse comme une réponse au lieu d'un commentaire? Des réponses appropriées dans les commentaires ne peuvent pas être sélectionnées et, par conséquent, crée de faux "questions sans réponse".
  • Pourquoi ne pouvez-vous pas juste les guillemets doubles .html() au lieu de l'emballage dans des guillemets simples? le php expansion va se passer, peu importe. Fait cela pour tout, à partir d'attributs sur les éléments et les importations ainsi que les affectations de variables à l'intérieur des blocs de script.
InformationsquelleAutor Andrew | 2011-06-07
  1. 58

    Tout simplement: echo str_replace('\'', '\\\'', $myString);
    Cependant, je vous conseille d'utiliser de JSON et json_encode() de la fonction telle qu'elle sera plus fiable (les citations les nouvelles lignes par exemple):

    <?php $data = array('myString' => '...'); ?>

<script>
   var phpData = <?php echo json_encode($data) ?>;
   alert(phpData.myString);
</script>
    • Toutes les réponses que dire str_replace("'","\\'", $string) et similaires sont incorrectes. Considérez la chaîne \' Il sera remplacé par \\' et ce sera la cause d'une vulnérabilité d'injection. Au lieu d'utiliser json_encode comme Crozin suggère.
    • Je vous remercie.. je le savais mais j'étais face à problème parce que j'essayais de faire JSON.parse('<?php echo json_encode($data);?>'); et il n'était pas parce qu'il n'y a qu'un seul guillemet à l'intérieur des données. Plus tard, j'ai su il n'est pas nécessaire d'utiliser JSON.parse ici.
    • json_encode pourrait vous causer des ennuis si le json extension n'a pas été installé. Lire ma solution ci-dessous à l'aide de strtr(..)
    • Depuis PHP 5.2 JSON extension est fournie par défaut (source) donc je ne serais pas inquiet à ce sujet.
    • sauf que l'OP ne mentionne jamais JSON et a été très précis sur ce dont il a besoin.
    • Parfait! J'ai été à la recherche pour cette raison que j'ai dû retourner une chaîne de caractères à partir de PHP JS, et ce n'était que le chemin à parcourir. Merci!!!!

    InformationsquelleAutor Crozin
  2. 19

    Si vous souhaitez vous échapper de caractères avec un \, vous avez addcslashes(). Par exemple, si vous voulez échapper à seulement guillemets simples comme la question, vous pouvez le faire:

    echo addcslashes($value, "'");

    Et si vous souhaitez vous échapper de ', ", \, et nul (l'octet null), vous pouvez utiliser addslashes():

    echo addslashes($value);
    • Merci de remarquer addcslashes pour échapper à l'arbitraire de caractères.
    InformationsquelleAutor PhoneixS
  3. 15
    str_replace("'", "\'", $mystringWithSingleQuotes);
    InformationsquelleAutor Julian
  4. 9

    Dans certains cas, je viens de le convertir en ENTITÉS:

                              //I.e.,  $x= ABC\DEFGH'IJKL
$x = str_ireplace("'",  "&apos;", $x);
$x = str_ireplace("\\", "&bsol;", $x);
$x = str_ireplace('"',  "&quot;", $x);

    Sur la page HTML, le visuel, le résultat est le même:

    ABC\DEFGH'IJKL

    Cependant, il est assaini dans la source.

    InformationsquelleAutor T.Todua
  5. 8

    De remplacer uniquement les guillemets simples, l'utilisation de cette simple déclaration:

    $string = str_replace("'", "\\'", $string);
    • Wow ça a résolu mon problème en ce qui concerne mgic_qoute
    • Je l'obtenir à partir d'Android "#039" pas correct
    InformationsquelleAutor DevelRoot
  6. 4

    Vous pouvez utiliser le addcslashes fonction pour obtenir ce fait comme suit:

    echo addcslashes($text, "'\\");
    InformationsquelleAutor Junior
  7. 3

    Utiliser la fonction native htmlspecialchars. Il va s'échapper de tous les caractères spéciaux. Si vous voulez échapper à partir d'un devis spécifiquement, l'utilisation ENT_COMPAT ou ENT_QUOTES. Voici l'exemple:

    $str = "Jane & 'Tarzan'";
echo htmlspecialchars($str, ENT_COMPAT); //Will only convert double quotes
echo "<br>";

echo htmlspecialchars($str, ENT_QUOTES); //Converts double and single quotes
echo "<br>";

echo htmlspecialchars($str, ENT_NOQUOTES); //Does not convert any quotes

    La sortie serait comme ceci:

    Jane &amp; 'Tarzan'<br>
Jane &amp; &#039;Tarzan&#039;<br>
Jane &amp; 'Tarzan'

    Lire la suite dans PHP htmlspecialchars() la Fonction

    InformationsquelleAutor Nishad Up
  8. 1

    Après un long temps à lutter contre ce problème, je pense avoir trouvé la meilleure solution.

    Combiner deux fonctions possible d'échapper à une chaîne à utiliser comme HTML.

    Pour échapper double devis si vous utilisez la chaîne à l'intérieur d'un appel de fonction JavaScript, et d'autres pour échapper à l'apostrophe pour éviter ces simples citations qui vont autour de l'argument.

    Solution:

    mysql_real_escape_string(htmlspecialchars($string))

    Résoudre:

    • PHP en ligne créé pour appeler une fonction JavaScript comme

    echo
    'onclick="javascript_function(\" . mysql_real_escape_string(htmlspecialchars($string))"

    InformationsquelleAutor arturocu81
  9. 0

    Voici comment je l'ai fait. Stupide, mais simple.

    $singlequote = "'";
$picturefile = getProductPicture($id);

echo showPicture('.$singlequote.$picturefile.$singlequote.');

    Je travaillais sur la sortie HTML qui a appelé code JavaScript pour afficher une image...

    InformationsquelleAutor Paisano Centobie
  10. 0

    Je ne suis pas sûr exactement ce que vous faites avec vos données, mais vous pouvez toujours essayer:

    $string = str_replace("'", "%27", $string);

    Je l'utiliser chaque fois que les chaînes sont envoyées à une base de données pour le stockage.

    %27 est le type d'encodage du caractère, et il aide également à prévenir la perturbation de la demande si un seul ' personnage est contenue dans une chaîne de caractères envoyée à votre serveur. Je voudrais remplacer " avec %27 en JavaScript et PHP, juste au cas où quelqu'un essaie de l'envoyer manuellement des données à votre fonction PHP.

    Pour le rendre encore meilleur pour votre utilisateur final, il suffit d'exécuter une inversion de la fonction de remplacement pour toutes les données que vous obtenez à partir de votre serveur et de le remplacer tous les %27 sous-chaînes avec '.

    Heureux d'injection éviter!

    InformationsquelleAutor Mike
  11. 0

    J'ai écrit la fonction suivante. Il remplace les suivants:

    Apostrophe ['] avec une barre oblique et d'un seul devis [\'].

    Barre oblique inverse [\] avec deux barres obliques inverses [\\]

    function escapePhpString($target) {
    $replacements = array(
            "'" => '\\\'',
            "\\" => '\\\\'
    );
    return strtr($target, $replacements);
}

    Vous pouvez la modifier pour ajouter ou supprimer des caractères de remplacement en $remplacement de tableau. Par exemple, pour remplacer \r\n, il devient "\r\n" => "\r\n" et "\n" => "\n".

    /**
 * With new line replacements too
 */
function escapePhpString($target) {
    $replacements = array(
            "'" => '\\\'',
            "\\" => '\\\\',
            "\r\n" => "\\r\\n",
            "\n" => "\\n"
    );
    return strtr($target, $replacements);
}

    La fonction propre sur strtr est qu'il préfère long de remplacements.

    Exemple, "Cool\r\nFeature" s'échappe \r\n plutôt que de s'échapper \n le long.

    InformationsquelleAutor Basil Musa