1

我做了一些代码。我正在使用 noty little framework

    <script type="text/javascript">
function generateNormal(type, text, layout)
{
    if (typeof(layout)==='undefined') layout = 'topRight';
    var n = noty(
    {
        text: text,
        type: type,
        dismissQueue: true,
        theme: 'default',
        layout: layout
   }
   );    
}
function generateButtonDelete(id)
{
    if (typeof(layout)==='undefined') layout = 'topRight';
    var n = noty(
    {
        text: 'Are you sure you want to delete the record?',
        type: 'alert',
        dismissQueue: true,
        theme: 'default',
        layout: 'center' ,
        buttons: [
                  {addClass: 'btn btn-primary', text: 'Ok', onClick: function($noty) {
                    $noty.close();
                    $.post("delete.php", {id: id },
                            function(data) {
                                if (data)
                                {
                                    generateNormal('success', 'The record is deleted with succes!')       
                                }
                                else
                                {
                                    generateNormal('error', 'There is a problem with the database, please try again.')
                                }
                            });                    
                  }
                  }
    ]
   }
   );    
}


</script>

上面的代码将被 PHP 生成的表格使用:

<table>
<tr>
    <th>
        Delete
    </th>
    <th>
        ID
    </th>
    <th>
        Description 
    </th>
</tr>
<!--  This section will be created by PHP -->
<tr>
    <td>
        <a href="#" onclick="generateButtonDelete(1)">Delete</a>
    </td>
    <td>
        1
    </td>
    <td>
        Description row 1 
    </td>
</tr>
    <tr>
    <td>
        <a href="#" onclick="generateButtonDelete(2)">Delete</a>
    </td>
    <td>
        2
    </td>
    <td>
        Description row 2 
    </td>
</tr>
<!--  End of section that will be create by PHP -->

在 delete.php 文件中,删除记录的查询将使用 PHP 执行。如果查询执行好与否,则回显真或假。

该代码在控制台中运行完美,没有任何错误。但我不确定这是否安全,这只是一个概念证明。html 和 PHP 页面将使用登录脚本进行保护。

我希望有人能告诉我这是否安全?

对不起,我的英语不好。

编辑:我做了一些 PHP 代码。但这只是概念证明,所以我不测试代码,但 Eclipse 不会给出任何错误。

    <?php 
if (isset($_POST['id']))
{
    if (is_int($_POST['id']))
    {
        if ($_POST['id'] > 0)
        {
            $con = new PDO('mysql:host=localhost;dbname=testdb;charset=UTF-8', 'username', 'password');
            $sql = "DELETE FROM table_name WHERE id=?";
            $q = $con->prepare($sql);
            $execution = $q->execute(array($_POST['id']));

            if ($execution) echo true;
            else echo false;
        }   
        else echo false;
    }
    else echo false;
}
?>
4

3 回答 3

2

就 SQL 注入而言,您的代码是安全的,您可以像这样整理那些 if else 语句:

if (isset($_POST['id']) && (int) $_POST['id'] > 0) {

我看到的唯一问题是没有检查是否允许用户删除记录,我猜你那里也有一些会话逻辑,也许检查当前用户的查询是所有者/管理员您要删除的记录。

于 2012-08-02T09:36:10.373 回答
1

$.post() 用法对我来说似乎没问题,您遵循它的主要(推荐)用法 - 将数据发布到服务器。

于 2012-08-02T09:18:07.447 回答
1

您使用$.post().

delete.php您必须确保$_POST['id']在使用它之前以某种方式对您的设备进行消毒,例如在 MySQL 查询中。

于 2012-08-02T09:26:31.523 回答