У меня есть этот скрипт в моем заголовке:Должен ли я защищать свои куки от инъекций?
if (isset($_COOKIE['username'])) {$_SESSION['username'] = $_COOKIE['username'];}
if (isset($_COOKIE['is_logged_in'])) {$_SESSION['is_logged_in'] = $_COOKIE['is_logged_in'];}
Должен ли я защитить мое печенье от уколов? , как и плетеные полосы и т. Д.
Прежде всего, вы должны переосмыслить свою систему аутентификации. Поскольку в настоящее время любой, кто знает, как изменять файлы cookie, может выдавать себя за любого пользователя без proper authentication. Это еще одна реальная ошибка безопасности.
Уязвимости от впрыска зависят от фактического контекста, значения которого вставляются и не предоставляют информацию об этом, мы не сможем вам помочь.
Вы должны ввести вход esacpe, если это необходимо. Если вы собираетесь вывести имя пользователя на страницу HTML, используйте htmlentities($_COOKIE['username']). Если вы хотите проверить имя пользователя в базе данных, используйте mysql_real_escape_string($_COOKIE['username']) или подготовленные операторы.
И Вы знаете, что пользователи могут изменять файлы cookie? Что произойдет, если я установил файл cookie username в «Admin» и мой cookie is_logged_in на «true»?
Как защищает ли «пластыри» от инъекций? » –
Вам действительно нужна защита? Против кого? – markus