0

我只是在一个项目的后端工作,这个片段有一个小问题

if (isset($_POST['id'])) {
    $cat_delete = "DELETE FROM category WHERE categoryid='".$_POST['id']."' ";
    $cat_delete_ex = mysql_query($cat_delete);}`

但如果 id 设置为 post,则不会发生任何事情。

当我删除时,mysql查询正在工作

if (isset($_POST['id']))

有人有想法吗?

4

2 回答 2

1

好吧,我不确定您的方法是否安全,但我会这样做,如果 id 是数字,甚至可能会抛出一个正则表达式来检查数字:

编辑:我做了一个修改,因为你正在处理一个 ID,我会假设 ID 只是数字,所以我不会转义它,我只会删除除数字之外的所有内容。这可能更适合您的情况。我还将函数转换为一个类,这样您就可以将脚本重用于多种类型的清理字符串。也许是因为我也是一个超级成功者,我不知道。添加,强迫症等。归咎于它:)

$postID = isset($_POST['id']) ? sanitize::ID($_POST['id']) : '';

if (sanitize::email("test@example.com")){
    echo "Real email";
} else {
    echo "Fake email";
}

if ($postID != ''){
    $cat_delete = "DELETE FROM category WHERE categoryid='".$postID."' "; 
    $cat_delete_ex = mysql_query($cat_delete);
}

class sanitize{
    function ID($string){
        $string = preg_replace('/[^0-9,]|,[0-9]*$/','',$string);
        return $string;
    }
    # I added another sanitize function so you can see what you can do
    # with it. Add phone numbers, domain names, etc... Each one could
    # be called with sanitize::{FUNCTION}
    function email($string){
        if (!ereg("^[^@]{1,64}@[^@]{1,255}$", $string)) {
            return false;
        }
        $email_array = explode("@", $string);
        $local_array = explode(".", $email_array[0]);
        for ($i = 0; $i < sizeof($local_array); $i++) {
            if (!ereg("^(([A-Za-z0-9!#$%&'*+/=?^_`{|}~-][A-Za-z0-9!#$%&'*+/=?^_`{|}~\.-]{0,63})|(\"[^(\\|\")]{0,62}\"))$",$local_array[$i])) return false;
        }
        if (!ereg("^\[?[0-9\.]+\]?$", $email_array[1])) {
            $domain_array = explode(".", $email_array[1]);
            if (sizeof($domain_array) < 2) return false;
            for ($i = 0; $i < sizeof($domain_array); $i++) {
                if (!ereg("^(([A-Za-z0-9][A-Za-z0-9-]{0,61}[A-Za-z0-9])|([A-Za-z0-9]+))$", $domain_array[$i])) return false;
            }
        }
        return true;
    }
}
于 2012-10-29T11:45:04.013 回答
0

你确定你用post作为id吗?(问因为是正确的方法,但我有太多次了

<form action="action.php?id=hereistheid"

这将在 $_GET 而不是 $_POST 中带来 id。接下来检查

$id=(int)$_POST['id'];
if($id)
{
//do smth
}
于 2012-10-29T11:56:38.910 回答