Jak předat text parametrem funkci – JavaScript, AJAX, jQuery – Fórum – Programujte.com

Ahoj, prosím poraďte začátečníkovi jak předat text např: "nějaký text s mezerami, odstavec" pomocí parametru funkci. Kdy že to string bez mezer, tak mi to funguje, jakmile je tam mezera, tak mi prohlížeč v konzoli po kliknutí na button s onclick píše: SyntaxError: missing ) after argument list na řádku 1 prej :-D

Věřím, že to zase bude nějaká banalita v závorkování. Díky za radu.

Mám např.:

//Z databáze:
//id = 115; 
//odstavec = "nějaký text s mezerami, odstavec";
 
$nestedData[] = '<i class="pe-7s-mail clickable" onclick="sendFunction('.$row["id"].','.$row["odstavec"].')" ></i>';

function sendFunction(id,odstavec) {
            varURI = 'upravit.php?id='+id.toString()
            +'&odstavec='+odstavec.toString()
            window.location.href=varURI
        }

function escapeHtml($str)       {return htmlspecialchars($str);}
function escapeUrl($str)       {return urlencode($str);}

$odkaz = "index.php?a=" . escapeUrl("str");
echo '<a rel="nofollow" href="'.escapeHtml($odkaz).'">odkaz</a>'

Jo, asi zkousis nejaky nesmysl.
Pres js se da odesilat pres httprequest (jquery). Nebo muzes pouzit skryty iframe (display:none) a menit u nej src. Nebo muzes u tagu script menit src.
Jak to delas, bych to nedelal. Radeji bych odesilal formular ze stranky. Pro zacatecnika lepsi nez se drbat s javascriptem, ktery mnohdy neni uplne kompatibilni.
google = javascript httprequest example get post

#2 peter
Na httprequest jsem koukal, ale to mi přijde zbytečně složité.

To jako takhle?:

Víš, že v tom odstavci žádné HTML tagy nejsou? Jsou to klasické věty, nikoliv URL či HTML, ale chápu to tak, že at použiji jakoukoliv z těch funkcí, které jsi uvedl, tak by to mělo fungovat..

//Z databáze: 
//id = 115; 
//odstavec = "nějaký text s mezerami, odstavec"; 

function escapeHtml($str) {return $str);} 

$nestedData[] = '<i class="pe-7s-mail clickable" onclick="sendFunction('.$row["id"].', escapeHtml( '.$row["odstavec"].') )" > </i>';

function sendFunction(id,odstavec) {

varURI = 'upravit.php?id='+id.toString()

+'&odstavec='+odstavec.toString()

window.location.href=varURI

}

První věc je ten vygenerovaný kód. Pokud je druhý parametr string, tak by měl být uzavřený v apostrofech nebo uvozovkách, vnitřní uvozovky a speciální znaky escapnuté, apod. podle syntaxe JS. Celé je to atribut v HTML, takže zase podle toho kódovat.

A pak ta funkce pro odesílání. Data v URL se zase nějakým způsobem kódují, nemůžeš to tam jen tak frknout.

Celkově se to takhle nedělá. Na odesílání dat jsou formuláře.

Teď koukám, že to vlastně už peter napsal.

Ajo vlastně už si vzpomínám mezera se vlastně upraví na něco jako 20% a data se zdeformují.

No zkusím to nějak tedy formulářem, přijde mi to divné, jsem zvyklý formulář používat tam, kde opravdu fyzicky formulář je, ale tak jestli to dobře chápu, tak ten formulář tambude v kodu a všechny inputy budoou hidden nebo display:none nebo tak něco?

Mimochodem, momentálně sem si uvědomil, že jsem vlastně v tom PHP souboru udělal kontrolu zda ten kdo ten script volá má na to oprávnění, takže vlastně už můžu pomocí GET tomu scriptu předat jen ID a on si ten odstavec už nám načte z databáze v tom cílovém skriptu a nemusím to takhle barbarsky předávat, tedy problém je vyřešen.

Ale děkuji za myšlenku využívání form a rady.

Mno, ja ti napsal funkce, jak to resim ja.
Kdyz tam davas url, tak ji escapujes pres urlencode.
Kdyz to davas do html, tak escapures pres htmlspecialchars.
A protoze se ty funkce jmenuji pokazde jinak, tak behem 10 let pouzivaji jsem sjednotil ty nazvy takhle.
A pridal jsem ti zapis, jak se to pouziva, co na url a pak to cele prevadis na html, jeste.

Tech funkci mam asi 10. Ale ty nepotrebujes. Napriklad, kdyz potrebujes napsat pres php do html onclick uvozovky (kdyz jich kombinujes vic), tak na to mam spesl funkci, ktera to prevadi na &quote;.
Ty funkce mam definovane ve func.php nebo ruzne obdoby.

Tve minus, kdyz si z te fukce odstranis tu hlavni cast, htmlescape. To pak davas prilezitost hackerum.
To mas jak ten sql kod, cos psal jinde. Davas tam primo udaj ze session. zadne sql escapovani. staci v session prepsat, pridat apostrof nebo OR a smazu ti celou databazi :)
DELETE * FROM tab WHERE user_id=".$_SESSION['user_id'] - takovy prikaz maze celou tabulku|
DELETE * FROM tab WHERE user_id=1 OR 1=1 - takovy prikaz maze celou tabulku|
$SESSION['user_id'] = '1 OR 1=1'
Pouziti apostrofu
DELETE * FROM tab WHERE user_id='...'
DELETE * FROM tab WHERE user_id='' OR '1'='1''
$SESSION['user_id'] = '\' OR \'1\'='\1'

#8 peter

No i tohle už jsem vyřešil, beru to z databáze přímo tím PHP souborem, takže ve finále předávám jen ID. Teď už to tak řešit můžu, když jsem udělal tu kontrolu oprávnění k tomu záznamu s daným ID.

Mno, ja ti napsal funkce, jak to resim ja.
Kdyz tam davas url, tak ji escapujes pres urlencode.
Kdyz to davas do html, tak escapures pres htmlspecialchars.
A protoze se ty funkce jmenuji pokazde jinak, tak behem 10 let pouzivaji jsem sjednotil ty nazvy takhle.
A pridal jsem ti zapis, jak se to pouziva, co na url a pak to cele prevadis na html, jeste.

Rozumím, děkuji, už je mi jasné k čemu slouží.

Tech funkci mam asi 10. Ale ty nepotrebujes. Napriklad, kdyz potrebujes napsat pres php do html onclick uvozovky (kdyz jich kombinujes vic), tak na to mam spesl funkci, ktera to prevadi na &quote;.
Ty funkce mam definovane ve func.php nebo ruzne obdoby.

Máš to vychytané to mi připomíná, že bych v kódu asi neměl mít "&" ale "&amp;" :-D

Tve minus, kdyz si z te fukce odstranis tu hlavni cast, htmlescape. To pak davas prilezitost hackerum.

No ale v tomhle případě hacker snad nic nezmůže, jen ze stránky udělá paskvil ne. Je fakt, že na ošetření vstupů házím bobek no, alespoň dokud toho někdo nezneužije.
To mas jak ten sql kod, cos psal jinde. Davas tam primo udaj ze session. zadne sql escapovani. staci v session prepsat, pridat apostrof nebo OR a smazu ti celou databazi :)

Jo vím co myslíš, možná se tomu říká SQL inijection a dokonce i vím z hlavy, že by se to mělo ošetřit něčím jako mysql_real_espace_string() , nicméně nevěděl, sem, že klient může takhle si hrát se session, narozdíl od cookies. Díky za super informaci, že i session se dá takhle libovolně zneužít.

DELETE * FROM tab WHERE user_id=".$_SESSION['user_id'] - takovy prikaz maze celou tabulku|
DELETE * FROM tab WHERE user_id=1 OR 1=1 - takovy prikaz maze celou tabulku|
$SESSION['user_id'] = '1 OR 1=1'
Pouziti apostrofu
DELETE * FROM tab WHERE user_id='...'
DELETE * FROM tab WHERE user_id='' OR '1'='1''
$SESSION['user_id'] = '\' OR \'1\'='\1'

Fííha, díky za lekci z bezpečnosti internetových aplikací.

Muze a nemuze. Zalezi na zbytku kodu a nastaveni serveru. Zalezi na tom, jak s cookies session pracujes. Podle toho, co popisujes, je ti jedno, co uzivatel posila. Treba bych ti do zprav, komentaru poslal </div></div></div></div></div>. Nebo legracku typu <div onload="document.body.innerHTML='';">. Urcite bys byl nadseny :)

#10 peter

No to bych to hledal týden v kuse, ani bych nespal :-D

Hackerovi trva najit prvni diru asi 10 s. Vsechny, kdyz ma pristup ke kodu, asi 10 min :) Cim vic budes spat, tim rychleji prijdes o data, pokud se stane tva stranka atraktivni pro hackery.