我想在我的PHP会话中保存一些POST数据,就像这样。
$_SESSION['items'] = $_POST;
我计划在将数据保存到数据库之前将其传输几页。数据类型是文本,因此可以是任何内容,包括SQL注入。
我会在数据之前清理数据将其保存在我的数据库中,但只有在会话中保存了一段时间后才会这样。
我的问题是,如果在会话中保存 UN 已清理的原始POST数据会引起安全问题,即使稍后会对其进行清理。
感谢。
答案 0 :(得分:0)
将未经过处理的用户数据存储在会话中是安全的,只要您在使用它之前对其进行清理即可。我能想到的唯一例外是,如果您正在使用数据库会话处理程序,希望您在将数据存储到会话之前对其进行清理。
话虽如此,我认为这里存在安全问题。 PHP程序员有权查看$_POST并认为不安全。对于$_SESSION,同样不是真的(或者不是真的)。您或与您的应用程序合作的人可能在某个时候决定他们需要对会话变量执行某些操作并假设它已经被清理过。
一般情况下,我认为最好在收到数据后立即对其进行清理。