我的问题很简单,我有这个会话用户:
$user=$_SESSION['user'];
我想用它做一个选择:
select * from online where user='$user' order by id desc LIMIT 1
我是否需要像POST和GET一样准备$ _SESSION变量?如果我不这样做,是否有机会注入SQL?
select * from online where user=? order by id desc LIMIT 1
答案 0 :(得分:0)
<强> 1。我是否需要像POST和GET一样准备$ _SESSION变量?
是的,你这样做。它与普通秃头$_POST和$_GET一样不安全。
<强> 2。如果我不这样做,是否有机会注入SQL?
有Session hijacking这样的东西,几乎可以通过会话实现一切。你肯定需要研究它。正如我之前所说,会话与$_POST和$_GET一样不安全。所以是的,你有机会注入SQL。