在将PHP Session发送到MySQL查询之前,是否需要使用htmlspecialchars()?
一些邪恶的黑客可以在他的机器上创建一个带有危险的SQL注入的会话吗?
答案 0 :(得分:3)
没有。
在将文本放入HTML之前使用htmlspecialchars()。 (您直接使用HTML格式的HTML。通过白名单运行的不受信任的HTML)。这是对XSS的防御。
在将数据放入SQL查询时,您必须担心SQL注入。由于会话数据首先只包含您放入其中的内容,因此如果您采取任何措施来防御SQL注入,那么它们将取决于您将哪些数据放入会话中。
根据经验,放入查询的任何变量都应为inserted using bound variables and not string concatenation。