我有一个调用javascript的函数:del_release_comment(10,12);如果用户具有该特定评论,则从该页面开始。
我想知道其他用户是否可以从网址栏触发或以其他方式触发此功能来删除不属于他们的评论。
10是news_id,12是comment_news_id,即该特定新闻的评论ID。
删除是通过AJAX调用PHP脚本完成的,该脚本对这两个参数执行删除操作。 如果可以手动调用javascript函数,我必须重新强制删除注释的小PHP脚本。此外,是否可以直接在URL中按名称调用该特定PHP脚本?它使用_POST变量,而不是GET。
感谢。
删除评论的代码:
$query_del_comment = "DELETE from myl_news_comments WHERE comment_id='".mysql_real_escape_string($_POST['comment_news_id'])."' AND news_id='".mysql_real_escape_string($_POST['news_id'])."'";
$result_del_comment = mysql_query($query_del_comment) or die('Query failed: ' . mysql_error());
答案 0 :(得分:7)
客户端可以使用各种技术(包括调用JavaScript函数或手动构建)来执行他们喜欢的任何HTTP请求。
您必须在服务器上执行身份验证/授权,以确保删除某些内容的请求来自有权删除该内容的人。