我在MySQL查询中使用mysql_real_escape_string()
函数来处理$_SESSION
变量是否合适?理论上,$_SESSION
变量不像$_GET
或$_POST
变量那样可以被最终用户修改,对吗?
谢谢 :)
我在MySQL查询中使用mysql_real_escape_string()
函数来处理$_SESSION
变量是否合适?理论上,$_SESSION
变量不像$_GET
或$_POST
变量那样可以被最终用户修改,对吗?
谢谢 :)
更好的方法是使用绑定参数,这样您就不必担心这个问题。
在需要时再进行文本转义/引用/编码。内部表示应尽可能“原始”。
您可以通过以下推理自己回答这个问题:
$_SESSION 中的值是否来自用户输入?
如果是,它是否已经过了净化处理?