在 tcpdf 中遍历反序列化的 php 数组时,若仅在循环外调用一次 `writehtml()`,将导致仅显示最后一个元素;必须将 `writehtml()` 放入 `foreach` 循环体内,确保每个数组项独立渲染到 pdf。
问题根源在于变量覆盖与渲染时机:原代码中 $f = $fine_typet 在 foreach 中反复赋值,最终 $f 仅保留最后一次迭代的值(如 3),随后单次调用 writeHTML($f) 自然只输出该值。而浏览器端能正常显示,往往是因为使用了 echo 或数组遍历输出(如 print_r、var_dump 或显式循环 echo),未涉及 PDF 渲染的“单次写入”限制。
✅ 正确做法是:将 writeHTML() 移入 foreach 循环内部,为每个反序列化后的值生成独立 HTML 片段并追加至 PDF 文档流:
$query1 = "SELECT * FROM fine_controls WHERE formid = ?";
$stmt = mysqli_prepare($link, $query1);
mysqli_stmt_bind_param($stmt, 's', $emp_id);
mysqli_stmt_execute($stmt);
$resulty = mysqli_stmt_get_result($stmt);
while ($row22 = mysqli_fetch_assoc($resulty)) {
$fine_typesR = @unserialize($row22['fine_type']);
// 安全检查:确保反序列化成功且结果为数组
if (is_array($fine_typesR)) {
foreach ($fine_typesR as $fine_typet) {
// 可选:添加换行或分隔符提升可读性
$html = '' . htmlspecialchars((string)$fine_typet, ENT_QUOTES, 'UTF-8') . '';
$pdf->writeHTML($html, true, false, false, false, '');
}
}
}? 关键注意事项:
- SQL 注入防护:原始代码使用拼接字符串构造 SQL,存在严重安全风险。已改用预处理语句(mysqli_prepare + bind_param)进行修复。
- 反序列化安全:unserialize() 对不可信数据极危险,建议确认 fine_type 字段仅由可信业务逻辑写入;更优方案是改用 json_encode/json_decode 存储结构化数据。
- HTML 转义:使用 htmlspecialchars() 防止 $fine_typet 中的特殊字符(如 , &)破坏 PDF HTML 结构或引发 XSS(即使 PDF 不执行 JS,也应遵循内容安全原则)。
- 空值/错误处理:添加 @unserialize() 抑制警告,并用 is_array() 校验结果,避免因损坏数据导致 foreach 报错。
? 进阶建议:若需格式化列表(如带序号、项目符号),可构建完整 HTML 字符串后一次性写入:
$htmlList = ''; foreach ($fine_typesR as $fine_typet) { $htmlList .= '
'; $pdf->writeHTML($htmlList, true, false, false, false, '');- ' . htmlspecialchars((string)$fine_typet, ENT_QUOTES, 'UTF-8') . '
'; } $htmlList .= '
遵循以上实践,即可确保 TCPDF 准确、安全、美观地呈现全部反序列化记录。
