mysql_real_escape_string()我应该在我的 MySQL 查询中使用该函数来查询$_SESSION变量吗?从理论上讲,$_SESSION最终用户不能修改变量$_GET或$_POST变量,对吗?
谢谢 :)
问问题
2880 次
4 回答
4
无论用户是否可以修改数据,您可能都希望转义它,以防您需要数据包含会破坏 SQL 的字符(引号等)。
更好的是,使用绑定参数,您不必担心它。
于 2010-01-23T07:51:23.160 回答
4
在您需要它之前,不要转义/引用/编码文本。内部表示应尽可能“原始”。
于 2010-01-23T07:56:12.450 回答
3
您可以按照以下推理自己回答问题:
$_SESSION 中的值是否来自用户输入?
如果是这样,它已经消毒了吗?
于 2010-01-23T07:58:29.213 回答
1
理论上,$_SESSION 变量不能被最终用户修改
不,但数据一定来自某个地方。
您应该转义 PHP 的任何输出,在它离开 PHP 的地方使用适当的方法来处理目的地。
C。
于 2010-01-23T10:26:13.303 回答