0

作为 Web 开发人员,将客户端的 cookie (HTTP_COOKIE) 和任何其他 HTTP_* 变量存储到数据库是否危险?

cookie 内容的示例:

PHPSESSID=49g8iequfgjf5h9rjne88nqfs1; rack.session=BAh7CUkiD3Nlc3Npb25faWQGOgZFVEkiRTUyYzBhZTYyYmY2ZjI5OWVmZjM3%0ANzk3NTA5MWQ1OTVjNTBkYjIzZDIwZmJlMzc2MGI5ODllYzU0NDQyMjkxMDQG%0AOwBGSSINdHJhY2tpbmcGOwBGewhJIhRIVFRQX1VTRVJfQUdFTlQGOwBUSSIt%0AMGNkYzFiOWRVlKrM2E4MWM0MTdmMWFkNDcwMGQxODBjM2Q4N2NhZQY7AEZJ%0AIhlIVFRQX0FDQ0VQVF9FTkNPRElORwY7AFRJIi1lZDJiM2NhOTBhNGU3MjM0%0AMDIzNjdhMWQxN2M4YjI4MzkyODQyMzk4BjsARkkiGUhUVFBfQUNDRVBUX0xB%0ATkdVQUdFBjsAVEkibTVuZWFlOTcxNDkyOTM4YzJkY8923mIxZGRjOGQ3ZWMz%0AMTk2MDM3ZGEGOwBGSSIKcHJvZGkGOwBGWwZ7BzoHaWRpEzoJbmFtZUkiCEhD%0ASQY7AFRJIgljc3JmBjsARkkiRTFmN2M4NzVjZDQ2ZWMwNWM2YmM2MjU2MWMw%0AZWI2NzU1Y2Y1NTQ2OWY1NmIyNmM3NGNjMWZhNjhhMjg3NDVhNTQGOwBG%0A\n

4

1 回答 1

1

您从 cookie 或 HTTP 请求中获得的任何内容都应被视为用户输入而不被信任。如果要存储在数据库中,请使用 Prepared Statement 并避免将变量连接到 SQL 中。

在 PHP 中,使用session_id()优先于读取原始 cookie 来获取会话 ID。如果会话名称与默认名称不同,则不会命名 cookie PHPSESSID

于 2013-10-17T07:46:13.867 回答