String Escaper

Gratuito DevTools

String Escaper Online

Escape e unescape strings para JavaScript, SQL, HTML, Python, RegEx e URL com visualizacao lado a lado. Resultado instantaneo, sem cadastro, 100% no seu navegador.

3.4k usuarios Atualizado em Mar 2026 4.7/5

Avalie esta ferramenta:

4.7 (612 votos) Obrigado!

String Escaper / Unescaper

Texto Original

Texto Escapado (JavaScript)

Referencia de Escape

Como Usar

Escape qualquer string em segundos para a linguagem desejada.

Escolha a linguagem

Selecione JavaScript, SQL, HTML, Python, RegEx, URL ou URI Component.

Cole o texto

Insira o texto original no campo da esquerda.

Veja o resultado

O texto escapado aparece automaticamente no campo da direita.

Copie e use

Clique em Copiar para usar o resultado no seu projeto.

Sobre o String Escaper

Esta ferramenta escapa e desescapa strings para as principais linguagens de programacao e protocolos web. Todo o processamento e feito localmente no seu navegador, sem envio de dados para servidores.

Linguagens suportadas:

JavaScript: escapa aspas, barras, quebras de linha e caracteres de controle
SQL: escapa aspas simples e barras invertidas para prevenir SQL injection
HTML: converte &, <, >, aspas em entidades HTML
Python: escapa caracteres especiais de strings Python
RegEx: escapa metacaracteres de expressoes regulares
URL / URI: codifica caracteres especiais para uso em URLs

Artigo

String Escaping: O Que E, Por Que Importa e Como Fazer Certo

Por Equipe Chipak • Atualizado em Mar 2026 • 5 min de leitura

Neste artigo

O que e string escaping
Escaping em JavaScript
Escaping em SQL e seguranca
Escaping em HTML e XSS
Encoding de URL
Perguntas frequentes

1. O Que E String Escaping

String escaping e o processo de transformar caracteres especiais em uma string de modo que eles sejam interpretados literalmente em vez de como instrucoes de controle. Por exemplo, uma aspas dupla dentro de uma string JavaScript precisaria ser escapada como \" para nao encerrar a string prematuramente.

Esse processo e fundamental para seguranca (prevencao de XSS e SQL injection), corretude de dados (preservar o conteudo exato da string) e interoperabilidade entre sistemas que usam diferentes convencoes de representacao.

2. Escaping em JavaScript

Em JavaScript, os principais caracteres que precisam ser escapados dentro de strings literais sao: aspas (simples e duplas), barra invertida, e caracteres de controle como \n (nova linha), \t (tab) e \r (retorno de carro).

Use template literals (backticks) para evitar escaping de aspas na maioria dos casos
Sempre escape strings antes de inserir em contextos HTML via innerHTML
JSON.stringify() pode ser usado para escapar strings de forma segura para transmissao

3. Escaping em SQL e Seguranca

SQL injection e uma das vulnerabilidades mais criticas da web. Ela ocorre quando dados do usuario sao inseridos diretamente em queries SQL sem tratamento. O escaping de aspas simples (substituindo ' por '') e uma medida basica, mas a abordagem recomendada e sempre usar prepared statements com parametros vinculados.

"Escaping manual de SQL e uma camada de protecao secundaria. Prepared statements sao a defesa primaria e nao devem ser substituidos apenas por escaping."

4. Escaping em HTML e XSS

Cross-Site Scripting (XSS) ocorre quando codigo JavaScript malicioso e injetado em paginas HTML. A prevencao requer que qualquer dado de usuario inserido no DOM seja escapado: < vira <, > vira >, e assim por diante.

Prefira usar textContent em vez de innerHTML para inserir texto simples
Frameworks modernos como React e Vue escapam HTML automaticamente
Nunca confie em dados vindos de usuarios sem sanitizacao

5. Encoding de URL

URLs so podem conter um subconjunto limitado de caracteres ASCII. Caracteres especiais, espacos e caracteres nao-ASCII precisam ser codificados usando percent-encoding. A diferenca entre encodeURI e encodeURIComponent e importante: o primeiro codifica uma URL completa preservando os delimitadores (:/?#[]@), enquanto o segundo codifica todos os caracteres exceto letras, digitos e -_.!~*'().

6. Perguntas Frequentes

Os dados que eu colo sao enviados para algum servidor?

Nao. Todo o processamento acontece localmente no seu navegador via JavaScript. Nenhum texto e enviado ou armazenado em servidores.

Posso usar esta ferramenta para escapar codigos sensiveis?

Sim. Como o processamento e 100% local, nenhum dado sai do seu dispositivo. E seguro usar para qualquer tipo de string, incluindo credenciais ou dados confidenciais.

O escaping substitui o uso de prepared statements em SQL?

Nao. O escaping e uma camada adicional de protecao. Para producao, sempre use prepared statements ou ORM com parametros vinculados como defesa primaria contra SQL injection.