Как безопасно указать строковый параметр при формировании JS на PHP?

Question

[Andry]

Наткнулся в старом коде на вот такую строчку и призадумался, а как здесь правильно сделать и чтобы с кавычками не запутаться ?

Как обработать значение $loginOriginal чтобы не поломать js синтаксис в html синтаксисе.

//  $loginOriginal строка, понятное дело, в ней может быть что угодно
 // В переменной "собираются" атрибуты html
 $login .= " style=\"cursor:pointer\""
                ." onclick=\"chat.addTo('".addslashes($loginOriginal)."')\"";

Comments

[Дмитрий]

Ну как минимум обернуть все в одинарные

[Andry]

Дмитрий, пример кода был бы очень красноречив.

[Дмитрий]

Андрей, $login .= ' style="..." ...';
Сократил

[Andry]

Дмитрий, мне показалось, что суть вопроса - обработка значения $loginOriginal чтобы не поломать js синтаксис в html синтаксисе - читается явно.

[Дмитрий]

Андрей, я бы заменил на https://www.php.net/manual/ru/function.htmlentities.php вместо слэшей

Answer 1

[zkrvndm]

Знаете как я сам обычно делаю в таких случаях, чтобы не путаться во всей этой мешанине скобок? Все JavaScript функции сохраняю в отдельные файлы и при необходимости просто вставляю их через file_get_contents("function_name.js") и тогда не приходится парится с экранированием. По аналогии, можно все хранить в базе данных, если нужна скорость.

Answer 2

[nokimaro]

мне кажется такой вариант должен покрыть все кейсы если в $loginOriginal строка

htmlspecialchars(json_encode($loginOriginal), ENT_QUOTES, "UTF-8")