¿Es esto 100% seguro contra XSS? Si no es así, puede proporcionar un ejemplo de texto de cadena incorrecta que me muestre por qué no lo está.XSS: Creando un objeto javascript usando el código json_encode de PHP
<html>
<body>
<script>
<?php
$bad = "some bad string. please give example text that makes the below unsafe";
echo "var a = ".json_encode($bad).";";
echo "var b = ".json_encode(array($bad)).";";
?>
</script>
</body>
</html>
Thanks.
Eso depende de lo que finalmente hagas con 'a', ¿no es así? – chustar
¿De dónde viene '$ bad' en realidad? No es que importe ya que 'json_encode' solo crea [JSON] válido (http://json.org/), que es" no ejecutable ". –
@kevin, 'json_encode' crea json – Neal