我应该在MySQL查询mysql_real_escape_string()变量中使用$_SESSION函数吗?从理论上讲,与$_SESSION或$_GET变量不同,最终用户无法修改$_POST个变量吗?
谢谢:)
答案 0 :(得分:4)
无论用户是否可以修改数据,您都可能想要转义它,以防您需要数据包含会破坏SQL的字符(引号等)。
更好的是,使用绑定参数,您不必担心它。
答案 1 :(得分:4)
在您需要它之前,不要转义/引用/编码文本。内部陈述应尽可能“原始”。
答案 2 :(得分:3)
您可以按照以下推理方式自行回答问题:
$ _SESSION中的值是否来自用户输入?
如果是的话,它已经消毒了吗?
答案 3 :(得分:1)
理论上,最终用户无法修改$ _SESSION变量
不,但数据必须来自某个地方。
你应该从PHP中转义任何输出,使用适当的方法在目的地离开PHP。
下进行。