Hola,

tengo la siguiente cadena..

$string = "ves aquella esquina? ' tu madre y tu hermana ahí trabajan!"; // la cadena podemos ver que tiene una comilla simple '
 

va a ver problemas cuando quiera hacer esto con jQuery

$(selector).html('<p><?php echo($string); ?></p>');
 

me quedará en el html...

$(selector).html('<p>ves aquella esquina? ' tu madre y tu hermana ahí trabajan!</p>');
 

¿Se dieron cuenta del error? Comprendo que hay que escapar esto, pero no se de que manera puedo lograrlo. Tengo un nudo en la cabeza ya, probé un par de cositas pero no me funcionaron.

¿?

No me refiero a solo escapar una ' es decir, quiero escapar esa cadena para que no detecte lo html que sea que haya ahí... desde un $string = '<h6>hola</h6>' hasta un $string = 'esto ' es comilla'

Gracias igualmente!

---

La solución que encontré usado como base tu respuesta fue:

<div id="box"></div>
 
	<?php
	$string = "<h6>¿ves aquella esquina? tu madre y ' tu hermana ahí trabajan!</h6>";
	$string = str_replace("'", "\'", $string);
	$string = str_replace('"', '\"', $string);
	$string = htmlspecialchars($string);
	?>
 
	<script type="text/javascript">
	$('#box').html('<?php echo($string); ?>');
	</script>
 

No se si existan maneras mejores pero fue lo que escribí...


Mod: No hacer doble post.

Creo que tu problema va más allá de escapar la cadena, tu problema está en el concepto del uso de cadenas dinámicas desde php hacia una variable de jquery, eso es una pésima práctica.


Eso tiene XSS ya que no estás usando la secuencia de escape de javascript como lo indica el estandar, por lo contrario, solo estas reemplazando algunos caracteres y escapando codigo html en una cadena de tipo javascript, asi que estás doblemente equivocado.

Para comenzar, la etiqueta <h6> no tiene porque venir desde php y pasar por javascript para ser escrito, esto debe ser parte del template de html y no del código dinámico, la frase debe estar en plano sin etiquetas html. Por otro lado, la obtención de la frase debiese ser obtenida a traves de una solicitud ajax o si no a traves de etiquetas ocultas. javascript no puede contener código html y php no debiera entregar valores con html.