我有一个PHP脚本,它读取数据库表并将所有行插入到HTML表中,直到它显示所有可用的行,如下所示:
require_once('dbconnect.php');
$sql =
"SELECT
ID, Site, Type, Requested, Quote,
PO, CADs, MCS, DFP,
SIM, Prereqs, Design, Report, Delivered
FROM Predictions";
$result = $conn->query($sql);
if ($result->num_rows > 0) {
echo '<table class="table table-hover table-condensed">';
while($row = $result->fetch_assoc()) {
echo
'<tbody>'.
'<tr>'.
'<td>'.$row['ID'].'</td>'.
'<td>'.$row['Site'].'</td>'.
'<td>'.$row['Type'].'</td>'.
'<td>'.$row['Requested'].'</td>'.
'<td>'.$row['Quote'].'</td>'.
'<td>'.$row['PO'].'</td>'.
'<td>'.$row['CADs'].'</td>'.
'<td>'.$row['MCS'].'</td>'.
'<td>'.$row['DFP'].'</td>'.
'<td>'.$row['SIM'].'</td>'.
'<td>'.$row['Prereqs'].'</td>'.
'<td>'.$row['Design'].'</td>'.
'<td>'.$row['Report'].'</td>'.
'<td>'.$row['Delivered'].'</td>'.
'<td>'.
'<a href="#">'.
'<span class="edit"><i class="fa fa-pencil"></i></span>'.
'</a> | <a href="#">'.
'<span class="delete"><i class="fa fa-times"></i></span>'.
'</a>'.
'</td>'.
'</tr>'.
'</tbody>';
}
echo "</table>";
}
else
echo "0 results";
$conn->close();
一切正常,但现在我想拥有一个基本上是一个删除按钮(你可以看到上面创建图标/链接的标记),它将自动填充以与mysql数据库表的相应ID相对应。 Image of table for visual idea of what I'm going for.
到目前为止,我的删除脚本如下所示,但我不知道在&#34; WHERE id =&#34;中放入什么,或者如果它正确设置后如何将其合并到我的第一个脚本中。
<?php
require_once('dbconnect.php');
$sql = "DELETE FROM Predictions WHERE id=";
if($conn->query($sql) === TRUE)
echo "Item deleted successfully";
else
echo "Error deleting record; ". $conn->error;
$conn->close();
所以基本上我需要建议修改这两个脚本,以便在第一个脚本中生成删除链接(或表格,我不在乎),然后应用第二个脚本,它知道要使用的相应ID 。在我寻求解决这个问题的过程中,我看到了一些使用_GET的潜在解决方案,但是在同一个线程中,其他人说这实际上是一个非常糟糕且不安全的解决方案......所以我非常困惑!
我正在学习PHP,而且我只有2天左右,所以请怜悯:)
答案 0 :(得分:3)
更改此
scanf(" %c %d", &switcher, &c);
到
<a href='#'><span class='delete'>
然后在“deletepage.php”上,无论你打算把那个页面称为
<a href='deletepage.php?id=" . $row["ID"] . "'><span class='delete'>
我不知道你在这里使用的驱动程序,但首选的解决方案是使用带参数化查询的预准备语句。
因此,您通过require_once('dbconnect.php');
$id = (int)$_GET['id'];
$sql = "DELETE FROM Predictions WHERE id=" . $id;
if($conn->query($sql) === TRUE) {
echo "Item deleted successfully";
} else {
echo "Error deleting record; ". $conn->error;
}
$conn->close();
参数将id发送到“删除页面”。该页面获取该值,将其强制转换为GET以避免SQL注入(下面进一步阅读),然后删除数据。您也可以使用int将它们重定向到上一页,而不是回应成功。您可以向该网址附加header参数,以显示成功消息。 (或者您可以始终在同一页面上执行所有操作,只检查是否正在发送GET。)
此外,您应将此页面置于某人安全登录系统后面。您不希望任何用户/机器人执行id。
How can I prevent SQL injection in PHP?
http://php.net/manual/en/security.database.sql-injection.php
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#Defense_Option_1:_Prepared_Statements_.28Parameterized_Queries.29
我猜您正在使用deletepage.php所以请查看此文档,了解该驱动程序的预准备语句http://php.net/manual/en/mysqli.quickstart.prepared-statements.php。