JavaScript函数参数中的单引号转义_Javascript_Quote

JavaScript函数参数中的单引号转义

javascript

JavaScript函数参数中的单引号转义,javascript,quote,Javascript,Quote,我需要在JavaScript函数参数中转义单引号以避免这种情况： onclick="Javascript:INSERT_PRODUCT('188267','WILL AND GRACE','32311','L'ANNIVERSARIO DINOZZE ','20101113|04|18|','13/11/2010 0.00.00','CANALE 5 ',this);" 但是我需要在函数调用中转义它们，因为我不知道将要传递的值（db变量我无法从数据库转义）是否有一个函数允许我执行以下操作

我需要在JavaScript函数参数中转义单引号以避免这种情况：

onclick="Javascript:INSERT_PRODUCT('188267','WILL AND GRACE','32311','L'ANNIVERSARIO DINOZZE ','20101113|04|18|','13/11/2010 0.00.00','CANALE 5  ',this);"

但是我需要在函数调用中转义它们，因为我不知道将要传递的值（db变量我无法从数据库转义）

是否有一个函数允许我执行以下操作

onclick="Javascript:function(escape(param1), escape(param2), escape(param3));"

用反斜杠跳过撇号：

onclick="INSERT_PRODUCT('188267','WILL AND GRACE ','32311','L\'ANNIVERSARIO DI NOZZE ','20101113|04|18|','13/11/2010 0.00.00','CANALE 5 ',this);"

将生成一个字符串，您可以安全地嵌入到带引号的属性中，当JavaScript解释器看到该字符串时，该字符串具有相同的含义

唯一需要注意的是，一些换行符（U+2028和U+2029）在嵌入JavaScript字符串文字之前，但JSON只要求对

\r

和

\n

进行转义。

问题可能不完全清楚，但假设您只想将其发送到PHP脚本以存储在数据库中，当然，您最好使用PHP的各种方法，例如

stripslashes（）

——但如果您真的不想太花哨，只需在任何一个引号前添加一个斜杠就足以从客户端将SQL查询直接发送到PHP中。这不安全，但可能也没必要

str.replace(/'/g, "\\'"); // escaping \ with \, so used 2x

这个把戏，比如在这样的事情上：

var body = $('#body').val().replace(/'/g, "\\'");
myCustomSQLqueryFunction("UPDATE mytable SET `content`='"+ body +"';" );

MySQL现在将存储您的

正文

，就像您在表单字段中看到的那样。

此函数对我有效（它会再次删除和恢复引号）：猜测要发送的数据是输入元素的值

var Url = encodeURIComponent($('#userInput').val().replace("'","\\'"));

然后再次获取原始文本：

var originalText = decodeURIComponent(Url);

这对我很有用。

我更喜欢使用单引号来定义JavaScript字符串。然后，我将我嵌入的双引号转义如下

我就是这样做的，基本上是

str.replace（/[\”“]/g，\\\”）

var display=document.getElementById（'output'）；
var str='class=“whatever-foo\uu input”id=“node key”'；
display.innerHTML=str.replace（/[\”“]/g，\\\”）；
//将返回class=\“whatever-foo\uu input\”id=\“node key\”

\'

（就像普通字符串一样）。而且，因为您要将其插入标记中，您可能需要将其转义，或者如果服务器端语言正在生成它，请确保它将其转义。YY您可以将参数放入

escape（param）

中，标签

Javascript:

不需要。您应该使用其他方法绑定事件处理程序：，这样就不必担心引号。@EmmanuelN:

escape

url将其转义，而不是转换引号。查看HTML属性转义：请删除

Javascript:

。把它放在那里没有错，但也没有用，经验较少的开发人员可能会认为需要它。我需要一个函数在myfunction调用中执行转义，因为这是我唯一可以访问的地方。有什么建议吗？如果字符串包含

“

”、

&&27；

、“&&x5c；”或任何其他编码单引号或双引号或反斜杠的实体，则此操作将失败。例如，字符串

“foo”onmouseover=alert（1）

不包含单引号，但嵌入HTML属性时，会利用XSS漏洞。类似地，

'foo\

将失败，因为JavaScript解析器将看到

`，而不是\；`因此，右引号将被解释为字符串的一部分，因此，如果下一个字符串值为'alert（1））/`，则该值将被视为文字JavaScript，也会导致任意脚本执行。我正在测试这一点，并注意到MySQL只是删除了类似'alert（1））/`的奇特单引号，因此您也必须对其进行转义。
var originalText = decodeURIComponent(Url);

var cmpdetail = cmpdetail.replace(/'/g, "\\'");