通過使刪除功能

Question

我的一個網頁我把這個刪除功能

$Sql=mysql_query("SELECT Id FROM products"); 
    $Result=mysql_fetch_row($Sql); 
    $Id=$Result[0]; 
    DeleteRecords("products","Id",$Id) 

上的functions.php刪除特定記錄我提出以下

function DeleteRecords($Table,$Exp,$Value) 
{ 
if(isset($_GET['delete'])) 
{ 
$Sql="DELETE FROM $Table WHERE $Exp=$Value"; 
$Result=mysql_query($Sql); 
if($Result) 
    { 
     echo "<script>alert('Record Deleted')</script>"; 
     echo "<script>window.location='products.php';</script>";  
    } 
} 
} 

這個功能現在當我點擊刪除鏈接：

<a href='".$_SERVER['PHP_SELF']."?delete=$Id'>Delete</a> 

它刪除第一行。似乎有一些問題與$ Id

請幫我如何刪除我選擇的行;

最好的是所有的事情都應該在函數中完成，我只需要在我的頁面上調用函數！

Answer 1

您選擇所有產品：

$Sql=mysql_query("SELECT Id FROM products"); 

那麼你的第一個元素的ID分配給$Id：

$Id=$Result[0]; 

然後，你將$Id到你的函數 - 同樣的值稱爲$Value有：

DeleteRecords("products","Id",$Id) 

終於在你身邊r功能檢查是否設置了$_GET['delete']。如果是，你從結果的第一個元素之前$_GET['delete']使用$Id在刪除查詢（而不是通過值：

$Sql="DELETE FROM $Table WHERE $Exp=$Value"; 

所以你從不使用的$_GET['delete']值

---

。

你可以寫：

DeleteRecords("products","Id", $_GET['delete']); 

，並在功能：

$Value = intval($Value); 

if (0 != $Value) { 
    $Sql="DELETE FROM $Table WHERE $Exp=$Value"; 
    $Result=mysql_query($Sql); 
    […] 

這至少是某種阻止SQL注入的方式。不適合所有情況，而是一個起點。有一個很好的網站關於"Bobby Tables"，可以給你更多的信息。