mysql_real_escape_string（）为$ _SESSION变量的必要吗？

Question

我应该使用mysql_real_escape_string()功能在我的MySQL查询，以$_SESSION变量？理论上，$_SESSION变量不能由不同于$_GET或$_POST变量终端用户改性正确？

感谢：）

Answer 1

无论用户是否可以修改数据，你可能想逃跑也无妨的情况下，你需要的数据，以含有会破坏SQL（行情，等）字符。

更重要的是，使用绑定的参数，你将不必对此担心。

Answer 2

不，直到你在你需要它的点逃生/报价/编码文本。内部表示应为“原始”作为可能的。

Answer 3

您可以通过以下这种推理的回答自己这个问题：

在没有$ _SESSION的值从用户输入产生的？

如果这样，已将它已经消毒？

Answer 4

  

理论上，$ _SESSION变量不能由最终用户

改性

没有，但数据一定是来自某处。

您应该从逸出PHP任何输出，使用了恰当方法用于以它离开PHP点目的地。

下进行。