json_encode是否有足够的 XSS 保护？

我在PHP中有一个对象，类似于stdClass

$o = new stdClass;
$o->foo = $bar

该变量包含不受信任的字符串。$bar

以下PHP模板代码是否足以保护XSS

<script type="text/javascript">
    var o = <?php echo json_encode($o); ?>;
</script>

我最初的直觉反应是安全的，因为将对象编码为JSON将确保任何潜在的javascript攻击都将通过作为JSON字符串属性对象包含在内而呈现为惰性。类似的东西

$o = new stdClass;
$o->foo = "<script type=\"text/javascript\">alert(document.cookie)</script>";
?>
<script type="text/javascript">
    var o = <?php echo json_encode($o) ?>;    
</script>    

产生这样的输出

<script type="text/javascript">
    var o = {"foo":"<script type=\"text\/javascript\">alert(document.cookie) <\/script>"};    
</script>    

如果这是已知的不安全，是否有一种标准的、成熟的方法可以将简单对象序列化为 JSON 字符串，以便在 HTML 文档的某个部分使用。stdClass<script/>

在期待第一个快速答案时，我意识到剥离任何HTML标签，或者XSS过滤JSON对象的每个元素都会起作用，但我正在寻找一种简洁的方法。与此类似

//$eBar = addslashes($bar);
$sql = sprintf("SELECT * FROM table WHERE foo = '%s'",mysql_real_escape_string($bar));

和这个

$sql = $db->select('SELECT * from table where foo = ?', $bar);

（在大多数情况下）在功能上是等效的，但后者被认为是更好，更安全的代码，因为最终用户程序员用户不需要担心转义方案。