댓글 요청을 수락 할 수 있는지 확실하게 안전한 방법

Question

내 웹 사이트의 댓글 목록 페이지에서 작업 중이며 댓글 수정이나 삭제와 같은 일부 기능을 추가했습니다.

나는 코멘트를 게시 한 사용자가 삭제하도록 할 작업을하고 있지만, 내 프로 시저가 안전한지 확신 할 수 없습니다.

AJAX에서 모든 작업을하고 싶습니다. 로그인되어 있고 댓글이 나와있는 경우에만 나타나는 버튼이 있습니다. 이 경우 버튼을 클릭하면 주석 삭제를 확인해야하는 모달이 열립니다.

확인하면 더 이상 표시 할 필요가 없다는 것을 나타내는 매개 변수를 수정하는 PHP 파일을 호출하는 AJAX 함수를 트리거합니다.

이제 모든 사람이 어떤 comment-id에 대한 요청을 보낼 수 있으며 데이터베이스에서 해당 의견을 삭제하게됩니다. 이 절차를 어떻게 안전하게 할 수 있습니까?

Answer 1

당신은 사용자가 자신의 댓글을 삭제 권한이 있는지 확인하려면이 주석에 사용자 ID를 연결하고가 로그인 할 때 사용자 세션에 일치.

당신이 탈출 확인하여 pdo (http://php.net/manual/en/pdo.prepared-statements.php)를 사용하여 준비된 쿼리를 사용하거나 mysqli_escape_string (http://php.net/manual/en/function.mysqli-escape-string.php)을 사용하여 문자열을 이스케이프 처리하십시오.