Escape/Unescape de cordas
Escape ou anule o escape de caracteres especiais em strings para JSON, HTML, XML, URL e outros formatos com essa versátil ferramenta de escape de strings. Converta caracteres especiais em seus equivalentes codificados ou decodifique-os de volta, garantindo a integridade dos dados em diferentes contextos. Perfeito para desenvolvedores da Web, integração de API e tarefas de processamento de dados.
Perguntas frequentes
A ferramenta oferece suporte a vários formatos de escape, incluindo JSON (aspas, novas linhas, tabulações), entidades HTML, entidades XML, codificação de URL e escape de cadeia de caracteres JavaScript, permitindo que você prepare cadeias de caracteres para diferentes contextos.
Escape strings para JSON quando você precisar incluir caracteres especiais como aspas, barras invertidas ou novas linhas em valores JSON, garantindo a sintaxe JSON válida e evitando erros de análise.
Sim, a ferramenta funciona de forma bidirecional. Você pode cancelar o escape de strings codificadas para ver o texto original, o que a torna útil para depuração e compreensão de dados escapados de APIs ou bancos de dados.
O escape de HTML converte caracteres como <, >, & e aspas em entidades HTML (<, >, &, ") para evitar ataques de XSS e problemas de exibição, enquanto o escape de JSON lida com caracteres que violam a sintaxe de JSON.
A codificação de URL (percent-encoding) é um tipo específico de escape que converte caracteres especiais para o formato %XX para uso seguro em URLs, o que é diferente do escape de JSON ou HTML.
O escape adequado de strings evita ataques de injeção (XSS, injeção de SQL), garantindo que a entrada do usuário seja tratada como dados em vez de código executável, o que a torna uma prática de segurança essencial no desenvolvimento da Web.
O escape de JSON segue um padrão rigoroso (RFC 8259) que exige escapes de barra invertida para aspas (\"), barras invertidas (\\) e caracteres de controle (\n, \t, \r). O escape de cadeia de caracteres do JavaScript é semelhante, mas mais permissivo, permitindo escapes adicionais como \v (tabulação vertical), \0 (nulo) e \x (escapes hexadecimais). O JSON também exige pares substitutos UTF-16 para caracteres fora do BMP, enquanto o JavaScript pode usar a notação \u{XXXXXX}. Sempre use o escape JSON para respostas de API e intercâmbio de dados para garantir compatibilidade estrita.
Cada linguagem tem requisitos de escape específicos: O Python usa barras invertidas (\n, \t, \') e oferece suporte a cadeias de caracteres brutas (r'text'), o JavaScript usa escapes semelhantes e literais de modelo, o C/C++ exige o escape de aspas e barras invertidas, o SQL exige a duplicação de aspas simples ('') ou o escape delas, e os scripts de shell precisam do escape cuidadoso de $, ` e aspas. Sempre use as funções de escape incorporadas à sua linguagem (como json.dumps() do Python, JSON.stringify() do JavaScript ou consultas parametrizadas do SQL) em vez de usar o escape manual para evitar vulnerabilidades.
As sequências de escape essenciais incluem: \n (newline/line feed), \r (carriage return), \t (tabulação), \" (aspas duplas), \' (aspas simples), \\ (barra invertida), \0 (caractere nulo), \b (backspace) e \f (form feed). Para Unicode: \uXXXX (hexadecimal de 4 dígitos) e \xXX (hexadecimal de 2 dígitos). Contextos diferentes exigem escapes diferentes - o JSON usa \/, o HTML usa < e >, o XML é semelhante ao HTML e as expressões regulares usam \d, \w, \s para classes de caracteres.
Os ataques de XSS injetam scripts mal-intencionados explorando a entrada do usuário sem escape nas páginas da Web. O escape adequado converte caracteres perigosos em representações seguras: < torna-se <, > torna-se >, & torna-se &, " torna-se " e ' torna-se '. Isso impede que os navegadores interpretem a entrada do usuário como código HTML ou JavaScript. Por exemplo, se um usuário digitar <script>alert('XSS')</script>, o escape de HTML o converte em texto inofensivo que é exibido literalmente em vez de ser executado. Sempre escape a saída com base no contexto - HTML para o conteúdo da página, JavaScript para blocos de script, URL para links.