我正在为我的网站撰写评论列表页面,并添加了一些功能,例如修改评论或删除评论。
现在我正在努力让发布评论的用户删除它,但我不确定我的程序是否安全。
我想让一切都在AJAX中运行,所以我只有在您登录并且评论属于您的情况下才会显示一个按钮。 在这种情况下,如果单击该按钮,则会打开一个模式,您必须确认要删除该注释。
如果你确认,你会触发一个AJAX函数,该函数将调用一个php文件,该文件将修改注释中的参数,表明它不再需要显示。
现在问题是任何人都可以发送任何评论ID的请求,他们会从数据库中删除它。我怎样才能使这个程序更安全?
答案 0 :(得分:0)
如果您想确保A用户有权删除他们的评论,请将用户ID链接到评论,并在用户登录时将其与用户会话相匹配。
确保使用pdo(http://php.net/manual/en/pdo.prepared-statements.php)使用准备好的查询转义注释,或使用mysqli_escape_string(http://php.net/manual/en/function.mysqli-escape-string.php)转义字符串