Комментарии на: Удаление и выборка нескольких записей

От: Petrovich69

Petrovich69 — Wed, 02 Dec 2009 19:54:30 +0000

Большое спасибо, оч помогли.

От: Polzovatel

Polzovatel — Sun, 31 May 2009 08:08:16 +0000

благодарю за простой, понятный, удобный и скрипт!!! ))))
очень помогло

От: admin

admin — Mon, 03 Nov 2008 04:54:49 +0000

Dimka, да согласен. Если для панели администрирования это не критично, то для общедоступной части сайта - весьма опасно. Следовало бы написать примерно так:

if ( isset ( $_POST['item'] ) )

{

  $items = array();

  foreach( $_POST['item'] as $value ) {

    if ( ctype_digit($value) ) $items[] = $value;

  }

  if ( count($items) > 0 ) {

    $ids = implode( ',', $items );

    $query = 'DELETE FROM items WHERE id IN ('.$ids.')';

    mysql_query( $query );

  }

  header( 'Location: '.$_SERVER['PHP_SELF'] );

}

От: Dimka

Dimka — Mon, 03 Nov 2008 00:30:26 +0000

$ids = implode( ‘,’, $_POST['item'] );
Прошу заметить что в этой строче необходимо проверить значения массива item.
Так как это очень большая уязвимость и лакомый кусочек для любого хакера