调试易

主要说的是你：
<font color="#c60a00">'.$prescription.'</font>这个地方
你这样显示，如果$prescription的内容是恶意的HTML、js代码，那它就会直接执行了。
显示之前用stripslashes处理下就好。

可以帮我修改一下吗？ 这个东西不太在行……。html还行。

可以帮改一下吗？  你们说的太高深……我html还行……太复杂不行阿。

*****************
#for之外
$keyword = $prescription;
if (!get_magic_quotes_gpc()){
    $keyword = addslashes($keyword);
}
$keyword=explode(" ",$keyword);//拆分关键字
#for之外
*********
*********
$info = '<div class="zt"><b><a href="./">酒方大全</a>：找到 <a href="./?q='.urlencode($prescription).'"><font color="#c60a00">'.stripslashes($prescription).'</font></a> 的相关'.$r_num.'个</b>';