mysql_real_escape_string für $ notwendig _SESSION Variablen ()?
https://stackoverflow.com/questions/2122522
-
22-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Sollte ich die mysql_real_escape_string() Funktion in meiner MySQL-Abfragen für $_SESSION Variablen? Theoretisch können die $_SESSION Variablen nicht vom Endbenutzer im Gegensatz zu $_GET oder $_POST Variablen geändert werden, nicht wahr?
Danke:)
Lösung
Unabhängig davon, ob der Benutzer die Daten ändern können, möchten Sie wahrscheinlich es sowieso im Falle entkommen müssen Sie immer die Daten Zeichen enthalten, die das SQL brechen würde (Zitate, etc.).
Noch besser wäre es, die Verwendung Parameter gebunden, und Sie werden keine Sorgen zu machen über sie haben.
Andere Tipps
Do nicht entkommen / quote / kodieren Text, bis Sie an dem Punkt sind, wo Sie es brauchen. Interne Darstellungen als „raw“ wie möglich sein sollten.
Sie können die Antwort auf die Frage, die sich durch folgende diese Argumentation:
Hat der Wert in $ _SESSION von Benutzereingaben stammen?
Wenn ja, hat es bereits saniert worden?
Theoretisch das $ _SESSION Variablen kann nicht vom Endbenutzer
geändert werden
Nein, aber die Daten von irgendwo gekommen sein muss.
Sie sollten eine Ausgabe von PHP entkommen, an der Stelle, die appopriate Methode für das Ziel verwendet, bei dem es PHP verlässt.
C.
