php - SQL 删除语法错误，还有一些 PHP 和 Jquery

Question

我有一个名为“favoritecats”的数据库表，其中包含以下字段:

• 编号
• 猫名
• 猫号

我正在使用 Jquery 在 DOM Ready 上的元素的单击事件上运行此函数。

// Delete a Favorite Category from SQL Database
    $('.deleteCatFavs').click(function(){      // On click of .deleteCatFavs
    var actionRequested = "AJAX_delFavCat";    // My Personal PHP Controller Identifier
    var url = "index.php";                     // URL to post to

// Now Im getting the data I want to post into variables.
    var catId = $("input[name=FavCats]:checked").val();
    var rowId = $("input[name=FavCats]:checked").attr("id");

// Now we make the post
    $.post(url, {AJAX_Action: actionRequested, rowId: rowId},
        function(data){
            $("#favCats").fadeIn().html(data);
           });
    });

一切正常，

但在下面 我有 PHP 代码可以从数据库中删除上面选定的 rowId。 这是我遇到问题的地方，我确定这是一个 SQL 错误。

public function AJAX_delFavCat(){

$rowId = isset($_POST['rowId'])?$_POST['rowId']:''; // Get Posted Variable
// Below, I want to delete the posted rowId, from the DB,
$this->database->query("DELETE FROM 'favoritecats' WHERE id='$rowId'");

// My personal Loaders, I need help with the delete query above!!
$data = $this->database->query("SELECT * FROM favoritecats");
$this->load->view('Ajax_addToFavCats.php', $data, $ajax=1);

} // End

“DELETE FROM 'favoritecats' WHERE id='$rowId'”不起作用，我做错了什么？

[编辑]
我通过 SQL 收到以下错误: 您的 SQL 语法有误；检查与您的 MySQL 服务器版本相对应的手册，以了解在第 1 行的“favoritecats”附近使用的正确语法 WHERE id='27'

此外，我如何使用 $.ajax 方法而不是我现在使用的 $.post 方法编写 Jquery 函数，这真的有区别吗？

Answer 1

what am I doing wrong?

你有一个 SQL 注入(inject)安全漏洞。
请参阅:How does the SQL injection from the "Bobby Tables" XKCD comic work?

改变这个

$rowId = isset($_POST['rowId'])?$_POST['rowId']:''; // Get Posted Variable
// Below, I want to delete the posted rowId, from the DB,
$this->database->query("DELETE FROM 'favoritecats' WHERE id='$rowId'");

为此

$rowId = isset($_POST['rowId'])?$_POST['rowId']:''; // Get Posted Variable
$rowId = mysql_real_escape_string($rowId);
// Below, I want to delete the posted rowId, from the DB,
$this->database->query("DELETE FROM `favoritecats` WHERE id='$rowId'");

正确转义您的输入。

回到你的问题

$this->database->query("DELETE FROM `favoritecats` WHERE id='$rowId'");

将修复您的错误。
请注意在表名周围使用反引号，不允许使用普通引号，这实际上是一个语法错误。