[英]mysql_real_escape_string() for $_SESSION variables necessary?
我应该在MySQL查询中使用mysql_real_escape_string()函数来获取$_SESSION变量吗? 从理论上讲,最终用户不能修改$_SESSION变量,这与$_GET或$_POST变量不同吗?
谢谢 :)
无论用户是否可以修改数据,您都可能想要转义它,以防您需要数据包含会破坏SQL的字符(引号等)。
更好的是,使用绑定参数,您不必担心它。
在您需要它之前,不要转义/引用/编码文本。 内部陈述应尽可能“原始”。
您可以按照以下推理方式自行回答问题:
$ _SESSION中的值是否源自用户输入?
如果是这样,它已经消毒了吗?
从理论上讲,最终用户无法修改$ _SESSION变量
不,但数据必须来自某个地方。
您应该从PHP中转义任何输出,在它离开PHP时使用适当的方法作为目标。
C。
是否有必要使用mysql_real_escape_string()将图像导入mysql?
[英]Is it necessary to use mysql_real_escape_string() for image into mysql?
如果没有用户输入,是否需要mysql_real_escape_string?
[英]Is mysql_real_escape_string necessary if there are no user inputs?
使用准备好的语句时是否需要 mysql_real_escape_string()?
[英]Is mysql_real_escape_string() necessary when using prepared statements?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
