>我在页面上有一个按钮,可以调用如下所示的php文件:
message_sql.inc.php?act=delete&message_id=1
有没有一种有效的方法来防止直接从浏览器运行 url 并且只允许在从脚本调用时运行它?
你尝试的不是一个真正的好主意。例如,您应该使用POST请求提交删除表单并使用令牌保存它们。
您应该使用会话和登录名保存脚本。没有人可以直接提交。