Question

我已经制作了一些代码。我正在使用noty little framework。

    <script type="text/javascript">
function generateNormal(type, text, layout)
{
    if (typeof(layout)==='undefined') layout = 'topRight';
    var n = noty(
    {
        text: text,
        type: type,
        dismissQueue: true,
        theme: 'default',
        layout: layout
   }
   );    
}
function generateButtonDelete(id)
{
    if (typeof(layout)==='undefined') layout = 'topRight';
    var n = noty(
    {
        text: 'Are you sure you want to delete the record?',
        type: 'alert',
        dismissQueue: true,
        theme: 'default',
        layout: 'center' ,
        buttons: [
                  {addClass: 'btn btn-primary', text: 'Ok', onClick: function($noty) {
                    $noty.close();
                    $.post("delete.php", {id: id },
                            function(data) {
                                if (data)
                                {
                                    generateNormal('success', 'The record is deleted with succes!')       
                                }
                                else
                                {
                                    generateNormal('error', 'There is a problem with the database, please try again.')
                                }
                            });                    
                  }
                  }
    ]
   }
   );    
}


</script>

上面的代码将由PHP生成的表使用：

<table>
<tr>
    <th>
        Delete
    </th>
    <th>
        ID
    </th>
    <th>
        Description 
    </th>
</tr>
<!--  This section will be created by PHP -->
<tr>
    <td>
        <a href="#" onclick="generateButtonDelete(1)">Delete</a>
    </td>
    <td>
        1
    </td>
    <td>
        Description row 1 
    </td>
</tr>
    <tr>
    <td>
        <a href="#" onclick="generateButtonDelete(2)">Delete</a>
    </td>
    <td>
        2
    </td>
    <td>
        Description row 2 
    </td>
</tr>
<!--  End of section that will be create by PHP -->

在delete.php文件中，删除记录的查询将使用PHP执行。如果查询执行得不好，则回显true或false。

代码运行完美，控制台没有任何错误。但我不确定这是否安全，它只是一个概念证明。 html和PHP页面将使用登录脚本进行保护。

我希望有人能说我这是否安全？

抱歉我的英语不好。

编辑：我已经制作了一些PHP代码。但它只是一个概念证明，所以我不测试代码，但Eclipse没有给出任何错误。

    <?php 
if (isset($_POST['id']))
{
    if (is_int($_POST['id']))
    {
        if ($_POST['id'] > 0)
        {
            $con = new PDO('mysql:host=localhost;dbname=testdb;charset=UTF-8', 'username', 'password');
            $sql = "DELETE FROM table_name WHERE id=?";
            $q = $con->prepare($sql);
            $execution = $q->execute(array($_POST['id']));

            if ($execution) echo true;
            else echo false;
        }   
        else echo false;
    }
    else echo false;
}
?>

Answer 1

就SQL注入而言，你的代码是安全的，你可以整理那些if else语句，如下所示：

if (isset($_POST['id']) && (int) $_POST['id'] > 0) {

我看到的唯一问题是没有检查用户允许删除记录，我猜你也有一些会话逻辑，也许是查询检查当前用户是您要删除的记录的所有者/管理员。

Answer 2

$ .post（）使用似乎没问题，你按照它的主要（推荐）用法 - 将数据发布到服务器。

Answer 3

您对$.post()的使用并不安全。

安全性需要在delete.php中进行，您需要确保$_POST['id']在使用之前以某种方式进行消毒，例如在MySQL查询中。

这是一个使用.post的好方法吗？

3 个答案: