安全删除的关键在于确认操作对象、留有回退路径、隔离执行权限;需校验ID类型与存在性、用PDO预处理、实施软删除、事务日志及权限分级,并启用SQL_SAFE_UPDATES兜底。
PHP 删除数据本身很简单,但「安全删除」的关键不在 DELETE 语句怎么写,而在于**是否确认了操作对象、是否留有回退路径、是否隔离了执行权限**。直接拼接 SQL 执行 DELETE FROM users WHERE id = $_GET['id'] 这类写法,99% 的误删事故都源于此。
用 PDO 预处理 + 显式主键校验防注入和错删
不验证输入类型、不约束 ID 范围、不检查记录是否存在,就执行删除,等于把数据库当垃圾桶。预处理只防注入,不防逻辑误删。
-
$_GET['id']必须强制转为整型或用filter_var($id, FILTER_VALIDATE_INT)校验,拒绝字符串如"1 OR 1=1" - 删除前先
SELECT COUNT(*)确认该id真实存在且属于当前用户(如user_id = ?) - 使用
PDO::prepare()绑定参数,避免任何字符串拼接
$pdo = new PDO($dsn, $user, $pass);
$id = filter_var($_GET['id'], FILTER_VALIDATE_INT);
if (!$id) {
die('非法ID');
}
$stmt = $pdo->prepare('SELECT id FROM posts WHERE id = ? AND user_id = ?');
$stmt->execute([$id, $_SESSION['user_id']]);
if (!$stmt->fetch()) {
die('无权删除或记录不存在');
}
$stmt = $pdo->prepare('DELETE FROM posts WHERE id = ? AND user_id = ?');
$stmt->execute([$id, $_SESSION['user_id']]);
加软删除标记(deleted_at)代替物理删除
真正不可逆的 DELETE FROM 应该是运维级操作,日常业务删除必须默认走软删。否则恢复一条误删订单,可能要翻备份、停服务、跑 binlog。
- 表结构增加
deleted_at DATETIME NULL字段,索引建议加上(deleted_at, id) - 所有
SELECT查询默认加WHERE deleted_at IS NULL,可用视图或 ORM scope 统一拦截 - 删除操作只执行
UPDATE SET deleted_at = NOW() WHERE id = ?,保留完整历史和外键完整性
带事务 + 日志 + 权限分级的删除流程
单条记录删除看似简单,但涉及关联数据(如删用户要清 token、订单、收藏)时,漏一步就导致数据不一致。靠人肉写多条 DELETE 极易出错。
立即学习“PHP免费学习笔记(深入)”;
- 用
$pdo->beginTransaction()包裹全部删除语句,任一失败则rollback() - 删除前写日志:记录操作人、时间、影响行数、原始条件(如
WHERE order_id = 12345),日志单独存表或发到 ELK - 后台接口区分权限:普通用户只能删自己创建的数据;管理员删数据需二次确认(如传入
confirm=delete_forever)且触发审批流
用 MySQL 的 SAFE UPDATES 模式防止全表误删
开发环境连错库、测试时忘记写 WHERE 条件,DELETE FROM users; 会直接清空生产表。MySQL 本身提供防护机制,但默认关闭。
- 连接时加
SET SQL_SAFE_UPDATES = 1,此时所有DELETE/UPDATE必须满足以下至少一条:WHERE含主键/索引列、含LIMIT、在子查询中引用了主键 - PHP 中可在 PDO DSN 加
;init_command=SET SQL_SAFE_UPDATES=1,或首次连接后执行该语句 - 注意:这不能替代应用层校验,只是最后兜底——如果
WHERE user_id = ?但user_id没索引,照样被拒绝
安全删除不是加个确认弹窗或者写个 if ($confirm) 就完事。最常被忽略的是:没做主键存在性校验就删,没开 SQL_SAFE_UPDATES 就直连生产库,软删字段没加索引导致查询变慢进而被 DBA 建议物理删……这些细节卡点,往往比语法本身更决定成败。
