$ _SESSION変数に必要なため)(mysql_real_escape_stringの?
-
22-09-2019 - |
質問
万一私がmysql_real_escape_string()
変数のための私のMySQLのクエリで$_SESSION
機能を使用できますか?理論的には、$_SESSION
変数は$_GET
または$_POST
変数とは異なり、エンドユーザーが変更することはできませんよね?
ありがとう:)
解決
にかかわらず、ユーザーがデータを変更できるかどうかの、あなたはおそらく場合には、とにかくそれを脱出したいあなたは今までSQL(引用符など)を破るの文字が含まれているためにデータを必要としています。
いっそのこと、バインドされたパラメータを使用して、あなたはそれを心配する必要はありません。
他のヒント
あなたは、あなたがそれを必要とする時点でねまで
/引用/エンコードテキストをエスケープしないでください。内部表現は、可能な限り「生」とする必要があります。
あなたは推論のこのラインを以下で質問を自分で答えることができます:
$ _SESSIONの値は、ユーザの入力から発生していましたか?
もしそうなら、それは
?すでにサニタイズされています理論的には、$ _SESSION変数は、エンドユーザー
により変更することはできません
はありませんが、データがどこから来ている必要があります。
あなたはそれがPHPを残した時点で目的地のためのappopriate方法を使用して、PHPから任意の出力をエスケープする必要があります。
C
所属していません StackOverflow