我有一个函数调用javascript:del_release_comment(10,12); 如果用户具有该特定评论,则从该页面开始.
我想知道其他用户是否可以从URL栏触发或以其他方式此功能删除不是他们的评论.
10是news_id,12是comment_news_id,该特定新闻的评论的id.
删除是通过AJAX调用PHP脚本完成的,该脚本对这两个参数执行删除操作.如果可以手动调用javascript函数,我必须重新强制删除注释的小PHP脚本.此外,是否可以直接在URL中按名称调用该特定PHP脚本?它使用_POST变量,而不是GET.
谢谢.
删除评论的代码:
$query_del_comment = "DELETE from myl_news_comments WHERE comment_id='".mysql_real_escape_string($_POST['comment_news_id'])."' AND news_id='".mysql_real_escape_string($_POST['news_id'])."'";
$result_del_comment = mysql_query($query_del_comment) or die('Query failed: ' . mysql_error());
客户端可以使用各种技术(包括调用JavaScript函数或手动构建)来执行他们喜欢的任何HTTP请求.
您必须在服务器上执行身份验证/授权,以确保删除某些内容的请求来自有权删除该内容的人.
| 归档时间: |
|
| 查看次数: |
112 次 |
| 最近记录: |