我正在为我的网站创建一个评论列表页面,我添加了一些功能,比如修改或删除评论。
现在我正在努力让发布评论的用户删除它,但我不确定我的程序是否安全。
我想让一切都在AJAX中工作,所以我有一个按钮,只有当你登录并且评论属于你时才会出现。在这种情况下,如果你点击按钮,你会打开一个模态,在那里你必须确认你想删除评论。
如果您确认,您将触发一个AJAX函数,该函数将调用一个php文件,该文件将修改注释中的一个参数,该参数表示不必再显示它。
现在的问题是,任何人都可以发送任何评论id的请求,他们会将其从数据库中删除。如何使此过程更安全?
如果您想确保用户有权删除他们的评论,请将用户id链接到评论,并在他们登录时将其与用户会话匹配。
请确保使用pdo通过准备好的查询转义注释(http://php.net/manual/en/pdo.prepared-statements.php)或者使用mysqli_escape_string对字符串进行转义(http://php.net/manual/en/function.mysqli-escape-string.php)