Php 用户能否从URL触发javascript:函数？

我有一个调用javascript的函数：del_release_comment（10,12）；从页面中，如果用户有特定的注释

我想知道其他用户是否可以通过URL栏或其他方式触发此功能来删除不是他们自己的评论

10是新闻id，12是评论新闻id，该特定新闻评论的id

删除是通过AJAX调用PHP脚本完成的，该脚本会删除这两个参数。 如果javascript函数可以手动调用，我必须重新执行删除注释的小PHP脚本。另外，是否可以直接在URL中按名称调用特定的PHP脚本？它使用后变量，而不是GET

谢谢

删除注释的代码：

$query_del_comment = "DELETE from myl_news_comments WHERE comment_id='".mysql_real_escape_string($_POST['comment_news_id'])."' AND news_id='".mysql_real_escape_string($_POST['news_id'])."'";
$result_del_comment = mysql_query($query_del_comment) or die('Query failed: ' . mysql_error());

---

客户机可以使用各种技术（包括调用JavaScript函数或手动构建）执行他们喜欢的任何HTTP请求

---

您必须在服务器上执行身份验证/授权，以确保删除某个内容的请求是由授权删除该内容的人发出的。

请添加一些服务器端代码，如您正在处理删除请求的代码。请停止使用mysql_*功能编写新代码。它们不再得到维护，社区已开始恢复。相反，您应该学习准备好的语句，并使用或。如果您愿意学习，。谢谢……我正在强制执行我的小AJAX php外部例程，仅当会话变量与当前登录的人对应时才删除。这是完全安全的。另外，我计划在我的门户网站上切换到PDO风格，需要更多地研究它，阅读更多的文档，看起来很简单，在接下来的两个月里，我将把我所有的门户网站上的所有mysql_*查询转换为PDO…只是为了跟上开发进度，避免任何可能的SQL注入。这将是一个艰难的过程，但它弥补了它的安全性。