Как реализовать подтверждение удаления категории меню?

Question

[andreyqin]

Есть код, который запрашивает подтверждение удаления выбранной категории меню. В случае положительного ответа, на сервер отправляется идентификатор категории для проверка наличия у данной категории подкатегорий в базе. Если подкатегорий нет - возвращается false, если есть - true. Ну и соответственно на клиенте обрабатывается ответ, в зависимости от которого переходит или не переходит по ссылке на удаление. Проблема в том, что при ответе true у меня выскакивает alert с предупреждением, а вот return false почему-то не срабатывает и все равно происходит переход по ссылке:
Клиент:

$('.sidebar').on('click', 'a', function() {
			var deleteCategory = confirm('Вы действительно хотите удалить выбранную категорию?');
			if (deleteCategory) {
				var deleteCategoryId = $(this).data('id');
				$.get(
					'/includes/admin.php',
					{'deleteCategoryId': deleteCategoryId},
					function(check) {
						if (check) {
							alert('Сначала удалите все блюда и подкатегории выбранной категории');
							return false;
						} else {
							return true;
						}
					}
				);
			} else {
				return false;
			}
		});

Сервер:

// Проверяет, есть ли у категории дети
	function checkChildrenCategory($categoryId, $database)
	{
		$sql = 'SELECT id FROM menu WHERE parent_id = ' . $categoryId;
		if ($result = mysqli_query($database, $sql)) {
			if (mysqli_num_rows($result) > 0) {
				return true;
			} else {
				return false;
			}
		}
	}

// Собственно сама проверка на наличие детей
        if (isset($_GET['deleteCategoryId'])) {
		echo checkChildrenCategory($_GET['deleteCategoryId'], $database);
	}

Answer 1

[Rsa97]

Всё очень просто. Обработчик $('.sidebar').on у Вас завершается сразу после отправки запроса в $.get. Callback-функция внутри $.get вызывается асинхронно после получения ответа и её результат нигде не используется.
Вам надо либо в основном обработчике всегда возвращать false и добавить необходимые действия непосредственно в callback, либо использовать вызов .ajax с async: false (что крайне не рекомендуется).

Comments

[andreyqin]

и добавить необходимые действия непосредственно в callback

Вот тут не совсем понял что делать. Как в итоге должна выглядеть функция?

[Rsa97]

$('.sidebar').on('click', 'a', function() {
    if (confirm('Вы действительно хотите удалить выбранную категорию?'))
        $.get('/includes/admin.php', {'deleteCategoryId': $(this).data('id')})
            .done(function(check) {
                if (check)
                    alert('Сначала удалите все блюда и подкатегории выбранной категории');
                else {
                    // Здесь любые действия по удалению
                }
            });
    return false;
});

[andreyqin]

Что-то не работает ваш код. Я сделал соответствующие изменения в своем, сейчас он выглядит так:

$('.sidebar').on('click', 'a', function() {
			var deleteCategory = confirm('Вы действительно хотите удалить выбранную категорию?');
			if (deleteCategory) {
				var deleteCategoryId = $(this).data('id');
				$.post(
					'/includes/admin.php',
					{'deleteCategoryId': deleteCategoryId}
				).done(function(check) {
					if (check) {
						alert('Сначала удалите все блюда и подкатегории выбранной категории');
					} else {
						return true;
					}
				});
			}	
			return false;
		});

Ответ вообще не обрабатывается. Пробовал вместо .done - .complete - но в таком случае он всегда возвращает false

[Rsa97]

Функция .done - тот же callback. Не надо из неё возвращать true или false, надо прямо в ней делать удаление категории.

[andreyqin]

Но в функцию .done вообще ничего не приходит, может нужно .complete писать? И удаление категории - это переход по кликнутой ссылки, где мне тогда возвращать true в случае ответа false?

[Rsa97]

.done или .success зависит от версии jquery, которую Вы используете.
Нигде не возвращать. Можно переходить по ссылке средствами javascript (location.href="...").
Но логичнее всего сразу удалять категорию в php или возвращать ошибку, если удаление невозможно. Сейчас у Вас для этого получаеся два запроса - первый для проверки, второй для удаления.

[andreyqin]

Спасибо! Кажется все работает как надо. Все-таки .done нужно было, а не .complete.

Answer 2

[Mikhail Osher]

Немного не по теме, но тут нельзя промолчать.

Сходу CSRF уязвимость. Посылайте не GET, а POST запрос. Желательно, с проверкой токена, по возможности.

Comments

[andreyqin]

Хорошо, спасибо за совет.

Answer 3

[FanatPHP]

Что характерно, вся эта истерия с заменой mysql ext на mysqli никак не мешает говнокодить по-старинке, со всеми вытекающими инъекциями.

И ведь подавляющее большинство пользователей пехапешечки искренне верит, что добавление буковки i к их творениям сразу делает их безопасными

Comments

[andreyqin]

Спасибо за замечание. На самом деле я использую в своих функциях mysqli_real_escape_string при запросах, htmlspecialchars при выводе, а вот тут что-то забыл.

[Rsa97]

function checkChildrenCategory($categoryId, $database) {
    $sql = $database->prepare('SELECT id FROM menu WHERE parent_id = ? LIMIT 1');
    $sql->bind_param($categoryId);
    $ret = ($sql->execute() && $sql->store_relult() && ($sql->num_rows > 0));
    $sql->close();
    return $ret;
}

[andreyqin]

@Rsa97, спасибо, но вот с ООП я практически не знаком пока.

[Rsa97]

@andreyqin Там от ООП только стиль написания, то же самое записывается и в процедурном стиле, только названия функций длиннее, не $database->prepare(...), а mysqli_prepare($database, ...), не $sql->bind_param(...), а mysqli_stmt_bind_param($sql, ...).

[andreyqin]

А чем такой вариант функции лучше моего?

[Rsa97]

На мой взгляд параметризация запроса работает надёжнее, чем escape_string. Последний, например, не обрабатывает % и _.