好吧,我不确定您的方法是否安全,但我会这样做,如果 id 是数字,甚至可能会抛出一个正则表达式来检查数字:
编辑:我做了一个修改,因为你正在处理一个 ID,我会假设 ID 只是数字,所以我不会转义它,我只会删除除数字之外的所有内容。这可能更适合您的情况。我还将函数转换为一个类,这样您就可以将脚本重用于多种类型的清理字符串。也许是因为我也是一个超级成功者,我不知道。添加,强迫症等。归咎于它:)
$postID = isset($_POST['id']) ? sanitize::ID($_POST['id']) : '';
if (sanitize::email("test@example.com")){
echo "Real email";
} else {
echo "Fake email";
}
if ($postID != ''){
$cat_delete = "DELETE FROM category WHERE categoryid='".$postID."' ";
$cat_delete_ex = mysql_query($cat_delete);
}
class sanitize{
function ID($string){
$string = preg_replace('/[^0-9,]|,[0-9]*$/','',$string);
return $string;
}
# I added another sanitize function so you can see what you can do
# with it. Add phone numbers, domain names, etc... Each one could
# be called with sanitize::{FUNCTION}
function email($string){
if (!ereg("^[^@]{1,64}@[^@]{1,255}$", $string)) {
return false;
}
$email_array = explode("@", $string);
$local_array = explode(".", $email_array[0]);
for ($i = 0; $i < sizeof($local_array); $i++) {
if (!ereg("^(([A-Za-z0-9!#$%&'*+/=?^_`{|}~-][A-Za-z0-9!#$%&'*+/=?^_`{|}~\.-]{0,63})|(\"[^(\\|\")]{0,62}\"))$",$local_array[$i])) return false;
}
if (!ereg("^\[?[0-9\.]+\]?$", $email_array[1])) {
$domain_array = explode(".", $email_array[1]);
if (sizeof($domain_array) < 2) return false;
for ($i = 0; $i < sizeof($domain_array); $i++) {
if (!ereg("^(([A-Za-z0-9][A-Za-z0-9-]{0,61}[A-Za-z0-9])|([A-Za-z0-9]+))$", $domain_array[$i])) return false;
}
}
return true;
}
}
你确定你用post作为id吗?(问因为是正确的方法,但我有太多次了
<form action="action.php?id=hereistheid"
这将在 $_GET 而不是 $_POST 中带来 id。接下来检查
$id=(int)$_POST['id'];
if($id)
{
//do smth
}