mysql_real_escape_string () pour $ _SESSION variables nécessaires?
-
22-09-2019 - |
Question
Dois-je utiliser la fonction mysql_real_escape_string()
dans mes requêtes MySQL pour les variables $_SESSION
? En théorie, les variables $_SESSION
ne peuvent pas être modifiés par l'utilisateur final à la différence des variables $_GET
ou $_POST
droit?
Merci:)
La solution
Peu importe si l'utilisateur peut modifier les données, vous voulez probablement échapper de toute façon au cas où vous avez besoin des données pour contenir des caractères qui briserait le SQL (citations, etc.).
Mieux encore, utilisez des paramètres liés et vous ne serez pas à vous soucier de lui.
Autres conseils
Ne pas échapper / citation / texte encode jusqu'à ce que vous êtes au point où vous en avez besoin. Les représentations internes doivent être aussi « brut » que possible.
Vous pouvez répondre à la question vous-même en suivant ce raisonnement:
Est-ce que la valeur de $ _SESSION proviennent de l'entrée d'utilisateur?
Dans ce cas, il a été aseptisé déjà?
En théorie, les variables $ _SESSION ne peuvent pas être modifiés par l'utilisateur final
Non, mais les données doivent provenir de quelque part.
Vous devez échapper à toute sortie de PHP, en utilisant la méthode appopriate pour la destination au moment où il quitte PHP.
C.