![](/img/trans.png)
[英]Is it necessary to use mysql_real_escape_string() for image into mysql?
[英]mysql_real_escape_string() for $_SESSION variables necessary?
我应该在MySQL查询中使用mysql_real_escape_string()
函数来获取$_SESSION
变量吗? 从理论上讲,最终用户不能修改$_SESSION
变量,这与$_GET
或$_POST
变量不同吗?
谢谢 :)
无论用户是否可以修改数据,您都可能想要转义它,以防您需要数据包含会破坏SQL的字符(引号等)。
更好的是,使用绑定参数,您不必担心它。
在您需要它之前,不要转义/引用/编码文本。 内部陈述应尽可能“原始”。
您可以按照以下推理方式自行回答问题:
$ _SESSION中的值是否源自用户输入?
如果是这样,它已经消毒了吗?
从理论上讲,最终用户无法修改$ _SESSION变量
不,但数据必须来自某个地方。
您应该从PHP中转义任何输出,在它离开PHP时使用适当的方法作为目标。
C。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.