$ _SESSION変数に必要なため）（mysql_real_escape_stringの？

Question

万一私がmysql_real_escape_string()変数のための私のMySQLのクエリで$_SESSION機能を使用できますか？理論的には、$_SESSION変数は$_GETまたは$_POST変数とは異なり、エンドユーザーが変更することはできませんよね？

ありがとう：）

Answer 1

にかかわらず、ユーザーがデータを変更できるかどうかの、あなたはおそらく場合には、とにかくそれを脱出したいあなたは今までSQL（引用符など）を破るの文字が含まれているためにデータを必要としています。

いっそのこと、バインドされたパラメータを使用して、あなたはそれを心配する必要はありません。

Answer 2

あなたは、あなたがそれを必要とする時点でねまで /引用/エンコードテキストをエスケープしないでください。内部表現は、可能な限り「生」とする必要があります。

Answer 3

あなたは推論のこのラインを以下で質問を自分で答えることができます：

$ _SESSIONの値は、ユーザの入力から発生していましたか？

もしそうなら、それは

？すでにサニタイズされています

Answer 4

  

理論的には、$ _SESSION変数は、エンドユーザー

により変更することはできません

はありませんが、データがどこから来ている必要があります。

あなたはそれがPHPを残した時点で目的地のためのappopriate方法を使用して、PHPから任意の出力をエスケープする必要があります。

C