清理字符串以避免特殊字符破坏php生成的javascript
我有一个php“搜索”脚本,它在MySQL数据库中查找请求的数据并打印一个表。单击图标可以修改或删除此表的每一行。当您单击其中一个图标时,将调用显示显示的javascript函数 这是一段代码:清理字符串以避免特殊字符破坏php生成的javascript,javascript,php,special-characters,sanitization,Javascript,Php,Special Characters,Sanitization,我有一个php“搜索”脚本,它在MySQL数据库中查找请求的数据并打印一个表。单击图标可以修改或删除此表的每一行。当您单击其中一个图标时,将调用显示显示的javascript函数 这是一段代码: while ($row = mysqli_fetch_row($result)) { // Define $id $id = $row[7]; // Sanitize output $user
while ($row = mysqli_fetch_row($result)) {
// Define $id
$id = $row[7];
// Sanitize output
$user = htmlentities($row[0]);
$name = htmlentities($row[1]);
$surnames = htmlentities($row[2]);
$email = htmlentities($row[3]);
$role = htmlentities($row[4]);
$access = htmlentities($row[5]);
$center = htmlentities($row[6]);
$message .= "<tr>
<td>" . $user . "</td>" .
"<td>" . $name . "</td>" .
"<td>" . $surnames . "</td>" .
"<td>" . $email . "</td>" .
"<td>" . $role . "</td>" .
"<td>" . $access . "</td>" .
"<td>" . $center . "</td>" .
"<td>" .
"<input type='image' src='../resources/edit.png' id='edit_" . $user . "' class='edit' onclick=edit_user(\"$user\",\"$name\",\"$surnames\",'$email','$role','$access',\"$center\",'$id') title='Editar'></button>" .
"</td>" .
"<td>" .
"<input type='image' src='../resources/delete.png' id='delete_" . $user . "' class='delete' onclick=delete_user(\"$user\",'$role') title='Eliminar'></button>" .
"</td>
</tr>";
}
while($row=mysqli\u fetch\u row($result)){
//定义$id
$id=$row[7];
//净化输出
$user=htmlentities($row[0]);
$name=htmlentities($row[1]);
$namess=htmlentities($row[2]);
$email=htmlentities($row[3]);
$role=htmlentities($row[4]);
$access=htmlentities($row[5]);
$center=htmlentities($row[6]);
$message.=”
“$user。”。
“.$name.”。
“.$姓氏。”。
“.$email.”。
“.$role.”。
“.$access.”。
“.$center.”。
"" .
"" .
"" .
"" .
"" .
"
";
}
这只是我生成的表的一部分。在所有这些之后,我用json_encode对表进行编码并对其进行回显。回声由一个ajax函数捕获,该函数对其进行解码(JSON.parse)并将其放入div中
该表被正确地呈现,所有内容都可以正常使用普通字符,但我发现如果我有引号、斜杠和其他有意义的字符,可能会出现一些问题。字符串在表中正确显示,因此php没有问题,但生成的javascript无法处理某些字符串
例如,如果我介绍:
</b>5'"
5''
或:
5'6”
首先,创建数组的HTML安全JSON字符串,并修改代码以使用如下数据属性:
while ($row = mysqli_fetch_row($result)) {
// Define $id
$id = $row[7];
// Sanitize output
$user = htmlentities($row[0]);
$name = htmlentities($row[1]);
$surnames = htmlentities($row[2]);
$email = htmlentities($row[3]);
$role = htmlentities($row[4]);
$access = htmlentities($row[5]);
$center = htmlentities($row[6]);
$json_str_edit = htmlentities(json_encode(array($row[0], $row[1], $row[2], $row[3], $row[4], $row[5], $row[6], $id)));
$json_str_delete = htmlentities(json_encode(array($row[0], $row[4])));
$message .= "<tr>
<td>" . $user . "</td>" .
"<td>" . $name . "</td>" .
"<td>" . $surnames . "</td>" .
"<td>" . $email . "</td>" .
"<td>" . $role . "</td>" .
"<td>" . $access . "</td>" .
"<td>" . $center . "</td>" .
"<td>" .
"<input type=\"image\" src=\"../resources/edit.png\" id=\"edit_$user\" class=\"edit\" data-user=\"$json_str_edit\" title=\"Editar\"></button>" .
"</td>" .
"<td>" .
"<input type=\"image\" src=\"../resources/delete.png\" id=\"delete_$user\" class=\"delete\" data-user=\"$json_str_delete\" title=\"Eliminar\"></button>" .
"</td>
</tr>";
}
或者,通过addEventListener方法,您可以简单地将这个onclick事件监听器直接添加到元素中,如下所示(我真的认为在这种情况下这并不重要):
仅供参考,更常见的做法是在脚本中使用单引号,以避免转义双引号字符。使事情更干净、更标准化。首先,创建一个数组的HTML安全JSON字符串,并修改代码以使用如下数据属性:
while ($row = mysqli_fetch_row($result)) {
// Define $id
$id = $row[7];
// Sanitize output
$user = htmlentities($row[0]);
$name = htmlentities($row[1]);
$surnames = htmlentities($row[2]);
$email = htmlentities($row[3]);
$role = htmlentities($row[4]);
$access = htmlentities($row[5]);
$center = htmlentities($row[6]);
$json_str_edit = htmlentities(json_encode(array($row[0], $row[1], $row[2], $row[3], $row[4], $row[5], $row[6], $id)));
$json_str_delete = htmlentities(json_encode(array($row[0], $row[4])));
$message .= "<tr>
<td>" . $user . "</td>" .
"<td>" . $name . "</td>" .
"<td>" . $surnames . "</td>" .
"<td>" . $email . "</td>" .
"<td>" . $role . "</td>" .
"<td>" . $access . "</td>" .
"<td>" . $center . "</td>" .
"<td>" .
"<input type=\"image\" src=\"../resources/edit.png\" id=\"edit_$user\" class=\"edit\" data-user=\"$json_str_edit\" title=\"Editar\"></button>" .
"</td>" .
"<td>" .
"<input type=\"image\" src=\"../resources/delete.png\" id=\"delete_$user\" class=\"delete\" data-user=\"$json_str_delete\" title=\"Eliminar\"></button>" .
"</td>
</tr>";
}
或者,通过addEventListener方法,您可以简单地将这个onclick事件监听器直接添加到元素中,如下所示(我真的认为在这种情况下这并不重要):
仅供参考,更常见的做法是在脚本中使用单引号,以避免转义双引号字符。使事情更干净、更标准化。至少Javascriptonclick
代码周围需要加引号,否则任何空格都会导致语法错误,没有引号的HTML无效。然后,您需要对任何引号进行转义。尝试
onclick=“edit_user('$user','$name',..);返回false“`和$user
,$name
,其他变量应该通过addslashes
运行。更好的做法是使用Javascript事件处理程序,而不是将onclick=直接打印到元素中。请参见您可以使用…id='edit..MD5($user)。“'class=
…@dres010尝试后,我得到了未捕获的语法错误:意外令牌ILLEGAL@IarsAnders我想我可以添加id为的eventListeners,但我也有同样的id问题。它生成错误,双引号完成id,尽管我使用addsplash,但至少Javascriptonclick
code周围需要加引号,否则任何空格都会导致语法错误,没有引号的HTML无效。然后,您需要对任何引号进行转义。尝试onclick=“edit_user('$user','$name',..);返回false“`和$user
,$name
,其他变量应该通过addslashes
运行。更好的做法是使用Javascript事件处理程序,而不是将onclick=直接打印到元素中。请参见您可以使用…id='edit..MD5($user)。“'class=
…@dres010尝试后,我得到了未捕获的语法错误:意外令牌ILLEGAL@IarsAnders我想我可以添加id为的eventListeners,但我也有同样的id问题。它生成错误,双引号完成id,尽管我使用AddSplash。谢谢,但JSON还不够。我尝试过使用引号,但它们破坏了函数。@vjsp90您尝试过我的解决方案吗?它肯定会起作用。如果你的引语有任何错误,那只是因为你没有正确地避开它们。是的,我试过了。如果你把东西放在,即使我使用addslashes来转义字符串,它也不起作用。@vjsp90然后缩小真正的问题范围并解决它。你应该能够调试代码,不是吗?这是对您最初问题的回答,我不应该浪费时间为您调试代码。这并不是一个复制粘贴的答案。这是为了向您展示做您想做的事情的正确方法。@vjsp90为了能够在实际的HTML中使用双引号,我修改了代码以正确地转义双引号。应该这样做。谢谢,但JSON还不够。我尝试过使用引号,但它们破坏了函数。@vjsp90您尝试过我的解决方案吗?它肯定会起作用。如果你的引语有任何错误,那只是因为你没有正确地避开它们。是的,我试过了。如果您将某个内容设置为“”,则即使我使用addslashes来转义字符串,它也不起作用。@vjsp90然后缩小实际问题的范围并解决它。您应该能够调试代码,不是吗?这是对您原始问题的回答,我不应该浪费时间为您调试代码。这不是为了复制和删除代码
$('<textarea />').html(user).text()
while ($row = mysqli_fetch_row($result)) {
// Define $id
$id = $row[7];
// Sanitize output
$user = htmlentities($row[0]);
$name = htmlentities($row[1]);
$surnames = htmlentities($row[2]);
$email = htmlentities($row[3]);
$role = htmlentities($row[4]);
$access = htmlentities($row[5]);
$center = htmlentities($row[6]);
$json_str_edit = htmlentities(json_encode(array($row[0], $row[1], $row[2], $row[3], $row[4], $row[5], $row[6], $id)));
$json_str_delete = htmlentities(json_encode(array($row[0], $row[4])));
$message .= "<tr>
<td>" . $user . "</td>" .
"<td>" . $name . "</td>" .
"<td>" . $surnames . "</td>" .
"<td>" . $email . "</td>" .
"<td>" . $role . "</td>" .
"<td>" . $access . "</td>" .
"<td>" . $center . "</td>" .
"<td>" .
"<input type=\"image\" src=\"../resources/edit.png\" id=\"edit_$user\" class=\"edit\" data-user=\"$json_str_edit\" title=\"Editar\"></button>" .
"</td>" .
"<td>" .
"<input type=\"image\" src=\"../resources/delete.png\" id=\"delete_$user\" class=\"delete\" data-user=\"$json_str_delete\" title=\"Eliminar\"></button>" .
"</td>
</tr>";
}
function edit_user(user, name, surnames, email, role, access, center, id) {
// `this` will refer to the html element involved in the event
}
function delete_user(user, role) {
// `this` will refer to the html element involved in the event
}
document.addEventListener('click', function(event) {
if(event.target.hasAttribute('data-user')) {
switch(event.target.className) {
case 'edit':
edit_user.apply(event.target, JSON.parse(event.target.dataset.user));
break;
case 'delete':
delete_user.apply(event.target, JSON.parse(event.target.dataset.user));
break;
}
}
}, false);
onclick="edit_user.apply(this, JSON.parse(this.dataset.user))"