本文讲解如何正确将动态生成的 html 内容作为字符串字段写入 json 响应,避免手动拼接导致的转义错误、json 格式损坏及 sql 注入风险。核心是统一使用 json_encode() 处理整个结构,并采用预处理语句保障数据库操作安全。
在 Web 开发中,常需将 HTML 片段(如患者信息卡片)作为字符串嵌入 JSON API 响应中供前端渲染。但若直接用字符串拼接构造 JSON(如 '{"entities": ' . $jasondata . '}'),极易因 HTML 中的引号、斜杠、换行符等未被正确转义而导致 JSON 无效——正如你遇到的 jsonformatter 报错问题:原始 HTML 中的双引号、/、\r\n 等字符未经 JSON 编码,破坏了整体结构。
✅ 正确做法是:让 json_encode() 全权负责整个数据结构的序列化,它会自动对字符串值(包括 HTML)进行标准 JSON 转义(如 " → \",/ → \/,换行符转为 \n),确保输出严格符合 RFC 8259 规范。
以下是优化后的完整实现:
function patient_file() {
$html = '| Fullname | salum said juma |
| Age / sex | 12 male |
| Address | kariakoo dsm |
| File number | mn234 |
| kitu package | scheme name |
| kitu number | 1234567890 |
| kiyutu | 1919181716151 |
| hihi in | 12-03-2023 |
| hihi out | 12-03-2023 |
? 关键注意事项:
立即学习“前端免费学习笔记(深入)”;
- 禁止字符串拼接 JSON:永远不要用 '{"key":' . $value . '}' 的方式构造 JSON,这是绝大多数 JSON 解析失败的根源;
- HTML 是普通字符串:json_encode() 会自动处理其中所有特殊字符,你只需保证 $row['cardata'] 是合法 PHP 字符串;
- SQL 安全必做:原始代码中 WHERE m_No='$folio' 存在严重 SQL 注入漏洞,必须改用预处理语句(mysqli_prepare + bind_param);
- 类型匹配:bind_param 的类型标识符需与字段实际类型一致("s" 字符串 / "i" 整数),否则可能查询失败;
- 错误处理建议:生产环境应添加 mysqli_stmt_error() 和 json_last_error() 检查,便于快速定位问题;
- 前端使用提示:返回的 cardata 是已转义的 HTML 字符串,前端需用 innerHTML(非 textContent)安全渲染。
通过以上重构,你的 JSON 输出将完全合规,可被任意 JSON 解析器(包括浏览器 JSON.parse()、Postman、curl 等)正确解析,同时大幅提升系统安全性与可维护性。
