当用户登录时,我应该清除登录$_SESSION['user_id']用户ID吗?例如,如下面的代码所示。
mysqli_real_escape_string($mysqli, htmlentities(strip_tags($_SESSION['user_id'])));
答案 0 :(得分:2)
会话数据存储在服务器端,因此在首先添加到$_SESSION之前应对其进行清理。
答案 1 :(得分:0)
您可以随时使用session_id()代替哪些应该有效。
答案 2 :(得分:0)
不是真正的安全专家,但无论如何你都可以施展它(int) $_SESSION['user_id']
答案 3 :(得分:0)
您可以绝对控制放在$_SESSION中的内容,因此在将值放入$_SESSION之前应该进行一些类型的卫生检查(例如,用户是否提交了数组,是否比允许的更长,等等。)
但是,您在询问是否应该在将字符串传递给数据库之前将其转义,答案是肯定的(例如,有效的用户名可能包含或不包含字符')。更好的是,尽可能使用准备好的陈述。