2012-01-05 319 views
36

我一定要逃逸JavaScript函数参数单引号,以避免这种情况:单引号逃逸参数

onclick="Javascript:INSERT_PRODUCT('188267','WILL AND GRACE','32311','L'ANNIVERSARIO DINOZZE ','20101113|04|18|','13/11/2010 0.00.00','CANALE 5 ',this);" 

但我需要转义函数调用里面,因为我不知道会值被传递(我无法从数据库中转义的数据库变量)。

是否有一个函数允许我做类似下面的事情?

onclick="Javascript:function(escape(param1), escape(param2), escape(param3));" 
+3

' ''='\''(就像你一个正常的字符串)。而且因为你将它插入到标记中,所以_you_需要转义它,或者如果服务器端语言正在生成它,请确保_it_转义它。 – 2012-01-05 14:42:44

+0

你可以把你的参数放在'escape(参数)' – 2012-01-05 14:44:04

+4

那里不需要标签'Javascript:'。您应该使用其他方式绑定事件处理程序:http://www.quirksmode.org/js/introevents.html,那么您不必担心引号。 – 2012-01-05 14:44:20

回答

9

逃脱撇号用反斜杠:

onclick="INSERT_PRODUCT('188267','WILL AND GRACE ','32311','L\'ANNIVERSARIO DI NOZZE ','20101113|04|18|','13/11/2010 0.00.00','CANALE 5 ',this);" 
+4

请删除'的JavaScript:'。把它放在那里并没有错,但它也是没有用的,经验较少的开发者可能认为它是需要的。 – 2012-01-05 14:52:01

+2

我需要一个函数来执行myfunction调用中的转义,因为这是我可以访问的唯一地方。任何建议? – 2012-01-05 14:57:35

+0

如果字符串包含''','','\'或任何其他编码单引号或双引号或反斜杠的实体,则这将失败。例如,字符串''foo'onmouseover = alert(1)'包含no单引号,但是当嵌入到HTML属性中时,会利用XSS漏洞。同样,'foo \'也会失败,因为JavaScript解析器将会看到'\',而不是'\',所以close quote会被解释为字符串的一部分,所以如果下一个字符串值是'alert(1))/ /',那么这将被视为文字JavaScript,导致任意脚本执行。 – 2014-12-23 16:26:44

18
JSON.stringify(plainTextStr).replace(/&/, "&").replace(/"/g, """) 

会产生你可以在一个引号中的属性安全嵌入一个字符串,当通过JavaScript解释器看到,这将具有相同的含义。

唯一要注意的是,一些Unicode换行符(U + 2028和U + 2029)need to be escaped之前被嵌入在JavaScript字符串常量,但JSON只要求\r\n转义。

0

如果我正确地理解了你,我不相信你正在努力做什么是可能的。您将需要在服务器端转义引号。任何可能为你引用的函数本身都是一个函数,它需要一个有效的字符串,这意味着在传递给函数之前它需要被转义。

7

这可能不是完全清楚的问题,但假设你只想将这个发送到一个PHP脚本以存储在数据库中,那么你当然会理想地使用PHP的各种方法,例如stripslashes() - 但是如果你实际上并不想太花哨,只需在任何单引号之前添加1个斜线就足以将SQL查询从客户端发送到PHP。这是不安全,但也许不是必要的。

str.replace(/'/g, "\\'"); // escaping \ with \, so used 2x 

的伎俩,例如像在这样的事情:

var body = $('#body').val().replace(/'/g, "\\'"); 
myCustomSQLqueryFunction("UPDATE mytable SET `content`='"+ body +"';"); 

的MySQL现在存储您body就像你在表单字段中看到它。

+0

我正在测试这个,并注意到MySQL简单地删除了像''所以你必须逃避那些花式单引号。 – tim 2013-02-07 01:29:34

3

此功能为我工作(它移除并重新恢复报价): 猜测要发送的数据是输入元素的值,

var Url = encodeURIComponent($('#userInput').val().replace("'","\\'")); 

然后再得到原文:

var originalText = decodeURIComponent(Url); 
1
var cmpdetail = cmpdetail.replace(/'/g, "\\'"); 

它为我工作。

0

我更喜欢用单引号来定义JavaScript字符串。然后,我按照以下方式逃避嵌入的双引号。

这就是我该怎么做,基本上str.replace(/[\""]/g, '\\"')

var display = document.getElementById('output'); 
 
var str = 'class="whatever-foo__input" id="node-key"'; 
 
display.innerHTML = str.replace(/[\""]/g, '\\"'); 
 

 
//will return class=\"whatever-foo__input\" id=\"node-key\"
<span id="output"></span>