-3

嘿,我在传递我的 php 代码的 Javascript-PHP 变量中有问题:

<li id="' . $todo1 . '" class="items">' . $todo1 . '<button onclick="ajaxdelete(' . $todo1 . ')">Delete</button></li>

继承人的javascript函数

 function ajaxdelete(x){
var hr = new XMLHttpRequest();
var url = "ajaxtododelete.php";
var vars = "todo="+x;
hr.open("POST", url, true);

hr.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
hr.onreadystatechange = function() {
if(hr.readyState == 4 && hr.status == 200) {
var return_data = hr.responseText;
document.getElementById("status").innerHTML = return_data;
}
 }
 hr.send(vars); // Actually execute the request

}

还有我的 ajax 文件:

<?php
session_start();
include_once "connect_to_mysql.php";
$todo = $_POST['todo'];
print "$todo";

$sql = mysql_query("DELETE FROM todo WHERE todo='$todo'");
?>

因此,它不是输出“$todo1”的值(这是我想要的),而是输出: object HTMLLIElement.Any way around this?

4

1 回答 1

1

首先,您的应用程序中有一个用于 SQL 注入的主要漏洞。其次,您需要引用标识符,以便在函数调用中传递 id 的值,而不是对元素本身的引用。第三,您可能应该为此使用一个框架并以不显眼的方式应用处理程序。

'<li id="' . $todo1 . '" class="items">' . $todo1 . '<button onclick="ajaxdelete(\'' . $todo1 . '\')">Delete</button></li>'

更好(使用 jQuery)

'<li id="' . $todo1 . '" class="items">' . $todo1 . '<button>Delete</button></li>'


<script type="text/javascript">
     $(function() {
           $('.items').on('click', function() {
               var $li = $(this).closest('li');
                   id = $li.attr('id');
               $.post( "ajaxtodelete.php", { "todo" : id }, function() {
                       $li.remove();
               });
           });
     });
</script>

并修复您的 PHP 以使用参数化查询而不是字符串连接,以防有人决定使用浏览器调试器修改 id 并将 id 更改为 SQL 命令,该命令将删除您的整个数据库 - 或检索其内容用于更邪恶的目的.

于 2012-04-15T14:13:19.877 回答