【发布时间】:2009-04-01 09:33:29
【问题描述】:
如何保护我的会话发布的数据以减少注入?
当我使用 $_SESSION[''] = $var; 时可能需要添加一些东西吗?或者当我通过 $var = $_SESSION['']; 检索数据时?
【问题讨论】:
-
我认为 Paolo Bergantino 是对的,但如果您能更清楚地了解数据的访问位置,那将很有帮助(post、get、db 等)。
【发布时间】:2009-04-01 09:33:29
【问题描述】:
安全是什么意思?这取决于您最终将要对数据做什么以及数据的来源,在这种情况下,它与您对其他变量所做的没有什么不同。如果您打算在 $_SESSION 数组上显示数据,则应使用 htmlentities 或 htmlspecialchars 对其进行转义以防止 XSS 等。如果您在查询中使用 $_SESSION 数组中的数据,您应该mysql_real_escape_string它(或者,甚至更好,使用绑定参数)来防止注入。如果您可以完全控制进入$_SESSION 的数据,则无需担心太多。
【讨论】: