Как экранировать код

@Путин · Регистрация: 14.04.2011

Студворк — интернет-сервис помощи студентам

Есть ajax запрос:

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
$.ajax({
     type: "GET",
     url: "https://example.com",
     dataType: "jsonp",
     data: {'msg': '...'},
     crossDomain: true,
     cache: false,
     success: function(data){
         bot_send([data, msg])
     },
     }).fail(function() {
         setTimeout(function() { repeat() }, 500)
})

вместо "..." подставляется какой-то (с помощью PHP) текст из БД, который может содержать все что угодно...
Как сделать чтобы код не выполнился на стороне клиента, если такой будет вместо "..."

@Mysterious Light · 02.03.2014, 22:32

1. Для того, чтобы передался именно текст, а не часть скрипта, достаточно экранировать все кавычки вставляемого текста. Например, текст в БД таков:

JavaScript
1
' + alert('hi!') + '

Если его вставить прямиком в код, получится

JavaScript
1
data: {msg: '' + alert('hi!') + ''}

и при каждом обращении будет выдаваться нежелательное сообщение. Если экранировать кавычки, то есть заменить символ \' на группу \\\', такого произойти не может.

2.

Кликните здесь для просмотра всего текста

Допустим, текст содержит скрипт

JavaScript
1
data: {msg: 'alert(\'hi!\')'}

В принципе, кто-то может написать такой скрипт:

JavaScript
1
2
3
4
5
6
$.ajax = (function($ajax) {
  return function(obj) {
    eval(obj.data.msg);
    return $ajax.call($, obj);
  }
})($.ajax);

Эффект будет. Но если Вы уверены, что такого перехвата не может быть, беспокоиться не о чем.

Новые блоги и статьи Все статьи Все блоги /
Подключение Box2D v3 к SDL3 для Android: физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL3_image 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .
Влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .	Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .	Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK, JDK, и т. д. то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера Скачайте. . .