mysql_real_escape_string()MySQLクエリで$_SESSION変数の関数を使用する必要がありますか?理論的には、変数は、または変数$_SESSIONとは異なり、エンドユーザーが変更することはできませんか?$_GET$_POST
ありがとう :)
2880 次
4 に答える
4
ユーザーがデータを変更できるかどうかに関係なく、SQLを壊す文字(引用符など)をデータに含める必要がある場合に備えて、とにかくデータをエスケープすることをお勧めします。
さらに良いことに、バインドされたパラメータを使用すれば、それについて心配する必要はありません。
于 2010-01-23T07:51:23.160 に答える
4
必要な場所に到達するまで、テキストをエスケープ/引用/エンコードしないでください。内部表現は、可能な限り「生」である必要があります。
于 2010-01-23T07:56:12.450 に答える
3
次の推論に従って、自分で質問に答えることができます。
$ _SESSIONの値は、ユーザー入力に由来しますか?
もしそうなら、それはすでに消毒されていますか?
于 2010-01-23T07:58:29.213 に答える
1
理論的には、$_SESSION変数はエンドユーザーが変更することはできません
いいえ、しかしデータはどこかから来たに違いありません。
PHPを離れる時点で、宛先に適切なメソッドを使用して、PHPからの出力をエスケープする必要があります。
C。
于 2010-01-23T10:26:13.303 に答える