如何保护会话发布的数据以减少注入?
当我使用$ _SESSION [''] = $ var时,我可能需要添加一些内容吗?或者当我通过$ var = $ _SESSION [''];?
检索数据时答案 0 :(得分:1)
安全是什么意思?这取决于您最终将对数据和数据的来源做什么,在这种情况下,它与您对其他变量的操作不同。如果您计划在$_SESSION
数组上显示数据,则应使用htmlentities
或htmlspecialchars
对其进行转义,以防止XSS等。如果您使用{{1}中的数据在查询中,你应该mysql_real_escape_string
它(或者更好的是,使用绑定参数)来防止注入。如果您完全控制进入$_SESSION
的数据,则无需担心。