在JavaScript中转义字符？

Question

我创建一个文件名，这样

var name = $('#top-line').val(); 
var fname = random+'-'+name+'-something'; 

这里FNAME是文件名。我不知道用户可能会在＃顶线输入什么内容，如何逃避角色以确保安全。 我用$top line = somethin "else"试过了，事情搞糟了。

从评论我读我的理解是

escape("Need tips? Visit W3Schools!") will produce 
Need%20tips%3F%20Visit%20W3Schools%21 

我的疑问是会当什么人写 逃生（/极品提示？请访问W3Schools的文件得到保存为

Need%20tips%3F%20Visit%20W3Schools%21 

！” ）

编辑在服务器上我保存的文件如

$name = uniqid('somevalue',true); 
$file = 'usermemes/' . $name . '.jpeg'; 

在用户计算机上，它们具有用户提供的名称。

Answer 1

启动您的“名字”变量与空字符串

var name= ""; 
name="Need tips? Visit W3Schools!"; 

用户下载和JavaScript将采取“一切”作为一个字符串没有母校它是一种逃避或者是什么。 甚至

var name= ""; 
name="\Need tips? Visit W3Schools!\"; 

或

var name= ""; 
name="Need\\ tips? Vis\\it W3\\School\\s!"; 

唯一的事情是你需要照顾双引号 所以它可以被删除。完全像这样。

var name= ""; 
var name = $('#top-line').val(); 
name.replace(/['"]+/g, ''); 

或通过使用这对不提醒用户输入双引号写入逻辑

Answer 2

您想要在服务器上执行此操作。原因如下：即使您的JavaScript被缩小，请记住（理论上）任何人都可以查看和修改您的脚本。你可以编写一个很好的例程来检查不良的字符，确保用户没有做任何“注入”操作，并将输入变为服务器操作系统的良好文件名，但如果有人真的有动机，他们可以下载您的页面的本地副本，编辑脚本并根据需要发送尽可能多的恶意请求到您的服务器。

在客户端做一些基本的转义是合理的（比如encodeUri - 详见this answer），但是你会想在你的服务器上做真正的工作。不要只接受用户输入，将其放入文件名字符串中，并保存在服务器上。它可以像调用一组str_replace或检查允许字符的正则表达式一样简单。你只是想确保你在用户看不到的地方做到这一点。

编辑：如果你仅仅使用本地用户输入的名字，我会去与encodeURIComponent并删除单引号和双引号用正则表达式为帕布建议。 （但是，为什么不只是保存了一个独特的名称服务器上的文件，然后有？