回答編集履歴

修正

2015/03/08 14:33

投稿

スコア4514

test CHANGED Viewed

@@ -142,7 +142,7 @@
 <?php
-$terms = Constant::terms;
+$terms = AppConst::terms;
 ```

追記

2015/03/08 14:33

投稿

スコア4514

test CHANGED Viewed

@@ -75,3 +75,101 @@
 （JSON とかが無かった時代はこの方法がよく使われていたような気がする）
 （もっともその時代に data-* アトリビュートは無かったので input の type=hidden とかを使ってましたが）
+---
+もし terms という値が定数的なもの（30 と値がベタ書きされていてアプリケーション内で変更されることがない）のであれば、php のソースファイルから js のコードを静的に生成する方法も考えられます。
+例えば次のように定数を定義するためのクラスを作り、
+```lang-php
+<?php
+class AppConst
+{
+    const terms = 30;
+    public static function buildJavaScript()
+    {
+        $ref = new ReflectionClass(__CLASS__);
+        $json = json_encode($ref->getConstants());
+        echo "var AppConst = $json;\n";
+    }
+}
+```
+下記のコードの実行結果を `const.js` などと保存しておきます。
+```lang-php
+<?php
+AppConst::buildJavaScript();
+```
+PHP 側ので terms の値が欲しければ次のようにします。
+```lang-php
+<?php
+$terms = Constant::terms;
+```
+JS 側で欲しければ次のような感じです。
+```lang-php
+<html>
+<head>
+<script src="const.js"></script>
+</head>
+<script>
+var terms = AppConst.terms;
+console.log(terms);
+</script>
+```

追記

2015/03/08 03:05

投稿

スコア4514

test CHANGED Viewed

@@ -6,7 +6,7 @@
 <?php
-$terms = "</script>";
+$terms = "<script>alert(1)</script>";
 ?>
@@ -31,3 +31,47 @@
 </script>
 ```
+---
+あるいは適用な要素の属性値に入れてしまうという方法もあります。
+```lang-php
+<?php
+$terms = "<script>alert(1)</script>";
+?>
+<html>
+<head>
+<script id="data" data-terms="<?= htmlspecialchars($terms)?>"></script>
+</head>
+<script src="sample.js"></script>
+<script>
+    var terms = document.getElementById('data').getAttribute('data-terms');
+    console.log(terms);
+</script>
+```
+（JSON とかが無かった時代はこの方法がよく使われていたような気がする）
+（もっともその時代に data-* アトリビュートは無かったので input の type=hidden とかを使ってましたが）