我需要准备和绑定 $_SESSION 变量吗?
Do I need to prepare and bind a $_SESSION variable?
我的问题很简单,我有这个会话用户:
$user = $_SESSION['user'];
我想用它做一个 select:
select * from online where user='$user' order by id desc LIMIT 1
是否需要像使用 POST 和 GET 一样准备一个 $_SESSION 变量?如果我不这样做,是否有机会SQL注射?
select * from online where user=? order by id desc LIMIT 1
1.我是否需要像使用 POST 和 GET 一样准备一个 $_SESSION 变量?
是的,你知道。它和普通秃头一样不安全 $_POST 和 $_GET.
2。如果我不这样做,是否有机会sql注射?
有Session hijacking这样的东西,它(几乎)使会话成为可能。你肯定需要调查一下。正如我之前所说,Session 与 $_POST 和 $_GET 一样不安全。所以是的,你有机会 SQL 注射。
我的问题很简单,我有这个会话用户:
$user = $_SESSION['user'];
我想用它做一个 select:
select * from online where user='$user' order by id desc LIMIT 1
是否需要像使用 POST 和 GET 一样准备一个 $_SESSION 变量?如果我不这样做,是否有机会SQL注射?
select * from online where user=? order by id desc LIMIT 1
1.我是否需要像使用 POST 和 GET 一样准备一个 $_SESSION 变量?
是的,你知道。它和普通秃头一样不安全 $_POST 和 $_GET.
2。如果我不这样做,是否有机会sql注射?
有Session hijacking这样的东西,它(几乎)使会话成为可能。你肯定需要调查一下。正如我之前所说,Session 与 $_POST 和 $_GET 一样不安全。所以是的,你有机会 SQL 注射。