gpt4 book ai didi

php - 读PHP Session需要 `htmlspecialchars()`吗?

转载 作者:太空宇宙 更新时间:2023-11-03 11:02:41 25 4
gpt4 key购买 nike

在将 PHP Session 发送到 MySQL 查询之前,是否需要使用 htmlspecialchars()

一些邪恶的黑客可以在他的机器上创建带有危险 SQL 注入(inject)的 session 吗??

最佳答案

没有。

在将文本放入 HTML 之前使用 htmlspecialchars()。 (您直接放入 HTML 中的受信任 HTML。您通过白名单运行不受信任的 HTML)。这是对 XSS 的防御。

将数据放入 SQL 查询时,您必须担心的是 SQL 注入(inject)。由于 session 数据仅包含您首先放入其中的内容,如果您采取任何措施来防御 SQL 注入(inject),那么它们将取决于您放入 session 中的数据。

根据经验,放入查询中的任何变量都应该是 inserted using bound variables and not string concatenation .

关于php - 读PHP Session需要 `htmlspecialchars()`吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14507344/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com