Php 试图删除整个对话,但在WHERE子句中难以分析内容
我有一个名为Php 试图删除整个对话,但在WHERE子句中难以分析内容,php,mysql,Php,Mysql,我有一个名为private_messages的表,其结构如下: id message_from message_to 我有一个按钮,按下该按钮后,将删除有关登录用户($username)和对话对方($user)的所有消息 如果我以Conor身份登录,我将在与Alice的对话中看到3消息(2条来自她,1条来自Conor)。单击“删除会话”时,我希望删除这三行 我有一个PHP脚本,名为delete\u conversation.PHP。在此脚本中,我尝试运行以下查询: $d
private_messages
的表,其结构如下:
id message_from message_to
我有一个按钮,按下该按钮后,将删除有关登录用户($username
)和对话对方($user
)的所有消息
如果我以Conor
身份登录,我将在与Alice的对话中看到3
消息(2条来自她,1条来自Conor)。单击“删除会话”时,我希望删除这三行
我有一个PHP脚本,名为delete\u conversation.PHP
。在此脚本中,我尝试运行以下查询:
$delete_query = mysqli_query($connect, "DELETE FROM private_messages WHERE
message_from='$username'
OR message_to='$username'
AND
message_from ='$user'
OR message_to='$user'
");
通过上述查询,仅删除登录用户的帖子($username
)。我试图回显$user
的值,但回显没有返回任何结果
$user
是存储URL末尾内容的变量。例如,如果我的URL读取http://localhost/messages.php?u=Alice
,则$user
的值等于Alice
删除对话
链接位于messages.php
上,该值附加到URL。但是当调用delete\u conversation.php
脚本时,它不知道$user
是什么
我考虑过使用$\u GET
。但是我不能把任何东西附加到我的锚链上,例如,考虑下面的:
$get_name = mysqli_query($connect, "SELECT * FROM private_messages WHERE message_from='$username' OR message_to='$username' AND message_from ='$user' OR message_to='$user'");
$get_all = mysqli_fetch_assoc($get_name);
$mess_from = $get_all['message_from'];
$mess_to = $get_all['message_to'];
$message_id = $get_all['id'];
echo "<a href='/inc/delete_conversation.php?id=$mess_from'> Delete Conversation</a>
$get\u name=mysqli\u query($connect,“选择*来自私人消息,其中消息\u FROM='$username'或消息\u to='$username',消息\u FROM='$user'或消息\u to='$user');
$get\u all=mysqli\u fetch\u assoc($get\u name);
$mess_from=$get_all['message_from'];
$mess_to=$get_all['message_to'];
$message_id=$get_all['id'];
回声“
我无法从或$mess\u到获得$mess\u的标识符,因为这取决于谁拥有数据库中的最新行。例如,如果我以conor身份登录,我会向anderson发送一条消息,
中的$mess\u将等于conor
我可以在对话中删除登录用户的帖子,但由于脚本无法找到$user
,我很难删除对方的消息
<a href='/inc/delete_conversation.php> Delete Conversation</a>
编辑
州政府的走查:
- 以freddy的身份登录
- 查看与Alice的对话(此时,url显示:
http://localhost/messages.php?u=AliceP
。
-delete_conversation.php
当前包含以下代码(除了变量定义代码之外,没有其他代码):echo$username.““$user;”
- 以下结果是echo'd-
freddy
-显然未找到$user
在第一个查询中使用括号即可:
DELETE FROM private_messages
WHERE (message_from = '$username' OR message_to = '$username') AND
(message_from ='$user' OR message_to = '$user');
或切换到使用
中的:
DELETE FROM private_messages
WHERE '$username' IN (message_from, message_to) AND
'$user' IN (message_from, message_to) ;
大警告:我遵循您最初的逻辑,但这也会删除自己的消息——如果允许的话
此外,您应该使用参数化查询,而不是直接在查询字符串中插入值。可能类似于
$delete_query = mysqli_query($connect, "DELETE FROM `private_messages` WHERE
( `message_from`='$username' AND `message_to`='$user' )
OR
( `message_from`='$user' AND `message_to`='$username' )");
似乎有几个问题
就在URI中传递两个值而言,可以这样做。例如:
<a href='/inc/delete_conversation.php?mess_from=ann&mess_to=dee'>mytext</a>
返回一个奇数结果。提供了两个用户名,但查询(可能)返回的行与除:user_one和:user_two以外的其他用户相关
和和或之间有一个优先顺序。在表达式周围添加括号可指定术语的求值顺序
作为一个简单的演示,考虑下面的查询,结果返回到三个布尔表达式。
(注d.f代表消息来源,d.t代表消息目的)
布尔表达式与“ann”和“dee”匹配。除添加参数外,所有这些都是相同的
返回值1表示布尔表达式的计算结果为TRUE,值0表示FALSE
将不带parens的布尔表达式(第三列)的结果与带parens的表达式(第四列和第五列)的返回结果进行比较
f或t列中带“tye”的行计算为TRUE没有什么必然的错误。但我怀疑您只希望返回与“ann”和“dee”相关的行,而不是与“tye”对话的任何行
您的脚本似乎对SQL注入开放。您可能想解决这一问题。但是,我明白,这并不能完全解决问题,尽管我最好在这个庄园中列出我的查询。您能看看我的编辑吗?它可能会提供更多关于这个问题的信息。您似乎在暗示,这两者之间有一个优先顺序AND和OR运算符(一个先评估另一个)布尔表达式中的括号指定了表达式求值的顺序,这可能与省略paren时的求值顺序不同。在您说在URI中传递两个值后,这个问题基本上得到了解决,但这很好,值得仔细阅读您的解释。I partia我理解你所描述的逻辑,并将进一步阅读。尽管如此,谢谢你的帮助斯宾塞!:)从那次漫长的讨论中走出来……并且比或有更高的优先级。这意味着“a和b或c”被评估为“(a和b)或c”。如果我们想要不同的顺序,我们可以指定使用帕伦斯…”a和(b或c)“.这就像算术中的乘法和加法一样。。。乘法的优先级高于加法。对于“a*b+c”,先进行乘法,然后进行加法。我们使用paren来指定不同的顺序。。。“a*(b+c)”。在SELECT上使用WHERE子句,在DELETE上使用相同的WHERE子句。还有,包括
<a href='/inc/delete_conversation.php?mess_from=ann&mess_to=dee'>mytext</a>
SELECT *
FROM private_messages
WHERE message_from = :user_one
OR message_to = :user_one
AND message_from = :user_two
OR message_to = :user_two
SELECT m.f
, m.t
, m.f='ann' OR m.t='ann' AND m.f='dee' OR m.t='dee' AS `_or_and_or_`
, m.f='ann' OR ( m.t='ann' AND m.f='dee' ) OR m.t='dee' AS `_or(_and_)or`
, ( m.f='ann' OR m.t='ann' ) AND ( m.f='dee' OR m.t='dee' ) AS `(_or_)and(_or_)`
FROM ( -- message_from and message_to
SELECT 'ann' AS f, 'dee' AS t
UNION ALL SELECT 'dee', 'ann'
UNION ALL SELECT 'ann', 'tye'
UNION ALL SELECT 'tye', 'ann'
UNION ALL SELECT 'dee', 'tye'
UNION ALL SELECT 'tye', 'dee'
) m
ORDER BY LEAST(m.f,m.t),GREATEST(m.f,m.t), m.f, m.t
f t _or_and_or_ _or(_and_)or (_or_)and(_or_)
---- ---- ----------- ------------ ---------------
ann dee 1 1 1
dee ann 1 1 1
ann tye 1 1 0
tye ann 0 0 0
dee tye 0 0 0
tye dee 1 1 0