本文讲解如何正确将动态生成的 html 内容作为字符串字段写入 json 响应,避免手动拼接导致的转义错误、json 格式损坏及 sql 注入风险。核心是统一使用 json_encode() 处理整个结构,并采用预处理语句保障数据库操作安全。
在 Web 开发中,常需将 html 片段(如患者信息卡片)作为字符串嵌入 json API 响应中供前端渲染。但若直接用字符串拼接构造 JSON(如 ‘{“entities”: ‘ . $jasondata . ‘}’),极易因 HTML 中的引号、斜杠、换行符等未被正确转义而导致 JSON 无效——正如你遇到的 jsonformatter 报错问题:原始 HTML 中的双引号、/、rn 等字符未经 JSON 编码,破坏了整体结构。
✅ 正确做法是:让 json_encode() 全权负责整个数据结构的序列化,它会自动对字符串值(包括 HTML)进行标准 JSON 转义(如 ” → “,/ → /,换行符转为 n),确保输出严格符合 RFC 8259 规范。
以下是优化后的完整实现:
function patient_file() { $html = ''; $html .= 'Fullname salum said juma Age / sex 12 male Address kariakoo dsm File number mn234 kitu package scheme name kitu number 1234567890 kiyutu 1919181716151 hihi in 12-03-2023 hihi out 12-03-2023
'; return $html; } // 安全获取参数并查询 $folio = $_POST['folio'] ?? ''; // ✅ 使用预处理语句防止 SQL 注入(注意:确保 $conn 已正确初始化) $stmt = mysqli_prepare($conn, "SELECT * FROM m_folio WHERE m_No = ?"); mysqli_stmt_bind_param($stmt, "s", $folio); // "s" 表示字符串类型;若 m_No 是整型,请用 "i" mysqli_stmt_execute($stmt); $result = mysqli_stmt_get_result($stmt); $row = mysqli_fetch_assoc($result); // 将 HTML 字符串注入数据数组 $row['cardata'] = patient_file(); // ✅ 关键:用 json_encode() 构建完整有效 JSON,无需手动拼接 $payload = json_encode([ "entities" => [$row] ], JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES); // 设置响应头(可选,但推荐用于 API) header('Content-Type: application/json; charset=utf-8'); echo $payload;? 关键注意事项:
立即学习“前端免费学习笔记(深入)”;
- 禁止字符串拼接 JSON:永远不要用 ‘{“key”:’ . $value . ‘}’ 的方式构造 JSON,这是绝大多数 JSON 解析失败的根源;
- HTML 是普通字符串:json_encode() 会自动处理其中所有特殊字符,你只需保证 $row[‘cardata’] 是合法 php 字符串;
- SQL 安全必做:原始代码中 WHERE m_No=’$folio’ 存在严重 SQL 注入漏洞,必须改用预处理语句(mysqli_prepare + bind_param);
- 类型匹配:bind_param 的类型标识符需与字段实际类型一致(”s” 字符串 / “i” 整数),否则可能查询失败;
- 错误处理建议:生产环境应添加 mysqli_stmt_error() 和 json_last_error() 检查,便于快速定位问题;
- 前端使用提示:返回的 cardata 是已转义的 HTML 字符串,前端需用 innerHTML(非 textContent)安全渲染。
通过以上重构,你的 JSON 输出将完全合规,可被任意 JSON 解析器(包括浏览器 JSON.parse()、postman、curl 等)正确解析,同时大幅提升系统安全性与可维护性。