Должен ли я использовать функцию mysql_real_escape_string()
в моих MySQL-запросах для переменных $_SESSION
? Теоретически переменные $_SESSION
не могут быть изменены конечным пользователем в отличие от $_GET
или $_POST
переменных справа?
Спасибо :)
Спасибо, Андрей. Могу ли я спросить, что такое «Связанные параметры»? – Lyon
Это средство объявления заполнителей в вашем SQL, а затем отправка значений данных на сервер «вне диапазона», так что они не могут быть интерпретированы как SQL, что исключает возможность SQL-инъекции. См. Например: http://usphp.com/manual/en/function.mysqli-stmt-bind-param.php –
Хм .. Я вижу. После ваших возгласов я начал читать о параметрах привязки и его поддержке в mysqli. В настоящее время я использую ext/mysql, и я считаю, что не поддерживает параметры привязки. Огромное спасибо. Мне нужно будет взять мои запросы о переносе из mysql в mysqli в другой поток (например, используя mysqli без подготовленных операторов). – Lyon