mysql真正的转义字符串和Cookies

Question

有什么理由这是不好的形式？页面上唯一的用户输入数据是

// Set username and password from cookies
    $username = mysql_real_escape_string($_COOKIE["username"]);
    $password = mysql_real_escape_string($_COOKIE['password']);

我真的对消毒的想法不熟悉。有什么理由这是一种可怕的做事方式吗？

Answer 1

永远，永远将用户的数据存储在Cookie中！

这是我的建议：

• 将用户ID存储在Cookie中
• 生成特殊令牌和哈希+盐并将其存储在Cookie中
• 将所有内容存储在数据库中
• 从每个页面加载的cookie中获取数据，并尝试在数据库中搜索它们
• 如果未找到，则注销用户
• 在每个页面加载时更改令牌