将 HTML 字符串安全嵌入 JSON 响应的正确实践

4次阅读

将 HTML 字符串安全嵌入 JSON 响应的正确实践

本文详解如何将动态生成的 html 字符串(如患者信息表格)正确序列化为合法、可解析的 json 数据,避免因手动拼接、转义缺失或 sql 注入导致的格式错误与安全风险。

在 Web 开发中,常需将 html 内容(如报表、卡片、详情页片段)作为字符串嵌入 jsON API 响应中供前端渲染。但若处理不当——例如使用字符串拼接构造 json、忽略 HTML 中的特殊字符(, /, n, t 等)或未防御 SQL 注入——会导致生成的 JSON 无效,无法被 JSON.parse() 解析,甚至引发 xss数据库攻击。

✅ 正确做法:全程依赖 json_encode(),禁用字符串拼接

php 的 json_encode() 会自动对值中的双引号、反斜杠、换行符、Unicode 字符等进行标准 JSON 转义。HTML 字符串应作为普通 PHP 字符串值传入数组,再由 json_encode() 统一处理,而非手动包裹引号或拼接 JSON 片段。

以下为修复后的完整示例:

function patient_file() {     $html = '';     $html .= '';     $html .= '';     $html .= '';     $html .= '';     $html .= '';     $html .= '';     $html .= '';     $html .= '';     $html .= '';     $html .= '
Fullnamesalum said juma
Age / sex12 male
Addresskariakoo dsm
File numbermn234
kitu packagescheme name
kitu number1234567890
kiyutu1919181716151
hihi in12-03-2023
hihi out12-03-2023
';     return $html; }  // 安全获取参数并查询 $folio = $_POST['folio'] ?? '';  // ✅ 使用预处理语句防止 SQL 注入(假设 $conn 已初始化) $stmt = mysqli_prepare($conn, "SELECT * FROM m_folio WHERE m_No = ?"); mysqli_stmt_bind_param($stmt, "s", $folio); // 注意:若 m_No 是字符串类型,用 "s";若为整数,用 "i" mysqli_stmt_execute($stmt); $result = mysqli_stmt_get_result($stmt); $row = mysqli_fetch_assoc($result);  // 将 HTML 字符串赋值给数组字段 $row['cardata'] = patient_file();  // ✅ 正确构建 JSON:用关联数组定义结构,交由 json_encode 全权处理 $payload = json_encode([     'entities' => [$row] ], JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES);  // 输出前设置 Content-Type(推荐) header('Content-Type: application/json; charset=utf-8'); echo $payload;

⚠️ 关键注意事项

  • 禁止手动拼接 JSON:像 ‘{“entities”: ‘ . $jasondata . ‘}’ 这类写法极易破坏 JSON 结构。json_encode() 是唯一可靠方式。
  • HTML 中的 &、 无需提前 HTML 实体编码:json_encode() 处理的是字符串值本身,不是 HTML 上下文,因此保留原始
    即可;前端接收后应通过 element.innerHTML = data.entities[0].cardata 安全渲染(确保数据可信)。

  • SQL 参数必须预处理:$folio 直接拼入 SQL 是严重漏洞。务必使用 mysqli_prepare + bind_param。
  • 添加 JSON 编码选项提升可读性与兼容性
    • JSON_UNESCAPED_UNICODE:避免中文被编码为 uXXXX;
    • JSON_UNESCAPED_SLASHES:保留 / 而非转义为 /(对 HTML 内容更友好)。
  • 空值/异常处理:生产环境应检查 $folio 是否存在、查询是否返回结果,并对 json_encode() 返回 false 时做错误日志。

    • ✅ 验证输出效果

    修复后,$payload 将输出标准 JSON,例如:

    立即学习前端免费学习笔记(深入)”;

    {   "entities": [{     "id": 123,     "m_No": "mn234",     "cardata": "
    ...
    Fullnamesalum said juma
    " }] }

    该 JSON 可被任何标准解析器(浏览器 fetch().then(r => r.json())、postman、jq 等)无误加载。

    遵循以上规范,即可安全、稳定地将 HTML 内容作为字符串嵌入 JSON 接口,兼顾功能性、安全性与可维护性。

发表于:web前端
五天前
# ai# app# html# innerHTML# js# json# mysql# php# postman# sql# table# xss# 前端# 字符串# 接口# 数据库# 浏览器# 编码
复制链接
JS Promise链式怎么写_JS Promise链式调用与错误处理方法
mysql mysqli和PDO哪个好_mysql PHP类库选择
如何在 Angular-Slickgrid 中同时启用行选择与单元格多选功能
如何在导航栏中正确对齐社交媒体图标(同排显示Logo、导航菜单与社交图标)
text=ZqhQzanResources