3

我正在为处理员工休假记录构建 PHP 应用程序。在此应用程序中,主屏幕填充数据库记录和操作按钮。当用户单击操作按钮时,它会从表中获取数据库 ID,并通过另一个文件删除该记录,然后重定向回同一页面。该机制使用 HTML _GET 方法实现。这意味着任何人都可以在 URL 提要中看到行 ID,如果有人使用不同的行 ID 请求此 url,PHP 文件将删除该记录,因为没有采取任何其他安全措施来防止这种情况发生。还有这个应用程序不使用任何类型的会话。

这是我上面提到的任务的href代码。

echo "<a href='rejectone.php?id=$lvid' class='btn btn-danger btn-xs m-r-1em'>Cancal</a>";

这是我的rejectone.php 代码

<?php
$lid =$_GET['id'];
include 'database.php';
$accval = "Accept";
try {
   $query = "UPDATE leavesrecords SET leavestatus = 'Reject' WHERE lvid = '$lid'";
    $stmt = $con->prepare( $query );
    $stmt->bindParam(1, $id);
    $stmt->execute();
}

catch(PDOException $exception){
    die('ERROR: ' . $exception->getMessage());
}   
header( "refresh:0;url=bs.php" );           
?>

我有两个问题

1.) 如何在同一个 PHP 文件中运行拒绝任务而不重定向到另一个 PHP 文件

2.) 如果我仍然使用 jejectone.php 文件,如何使用 HTML _POST 方法而不是 get 方法来传输数据

谢谢!!

4

2 回答 2

0

首先改变你的行:

echo "<a href='rejectone.php?id=$lvid' class='btn btn-danger btn-xs m-r-1em'>Cancal</a>";


echo '<a href="javascript:;" class="btn btn-danger btn-xs m-r-1em delete-item" primary-key="'.$lvid.'">Cancal</a>';

如果您的网站上没有包含 jQuery,您可以通过将此脚本添加到您的页面来完成,就在结束 </head>标记之前

<script type="text/javascript" src="https://code.jquery.com/jquery-3.1.0.min.js"></script>

将此 JavaScript 文件添加到页面底部,就在关闭之前</body>

<script type="text/javascript">

$(document).ready(function(){
    $(document).on('click', '.delete-item', function(e){

        e.preventDefault();
        if(!confirm('Are you sure you want to delete this item?')) return false;

        $.post('bs.php', {'id': t.attr('primary-key'), 'delete_item': 1}, function(e){
            window.location = 'bs.php';
        })

    })  
})

</script>

将您的rejectone.php 复制到bs.php,但进行以下更改:

if(isset($_POST['delete_item']))
{
    $lid = (int)$_POST['id'];
    include 'database.php';
    $accval = "Accept";
    try {
       $query = "UPDATE leavesrecords SET leavestatus = 'Reject' WHERE lvid = :lid ";
        $stmt = $con->prepare( $query );
        $stmt->bindParam(':lid', $lid );
        $stmt->execute();
    }

    catch(PDOException $exception){
        die('ERROR: ' . $exception->getMessage());
    }

}

这就对了。

于 2016-08-28T11:10:08.070 回答
-2

使用ajax post方法。有关更多详细信息,请参阅带有示例代码的已接受解决方案的完整示例:删除 MySQLi 记录而不在 URL 中显示 id 然后使用 jquery 从页面中删除该记录,这将提供更好的 UI 体验。

于 2016-09-02T10:31:00.113 回答