PHP СЕССИИ Вопрос

Question

Когда пользователь входит в систему, должен ли я выполнить санитарную обработку, войдя в систему $_SESSION['user_id'] идентификатор пользователя или нет?например, как в следующем коде ниже.

mysqli_real_escape_string($mysqli, htmlentities(strip_tags($_SESSION['user_id'])));

Answer 1

Данные сеанса хранятся на стороне сервера, поэтому их следует очистить перед добавлением в $_SESSION.

Answer 2

Вы имеете абсолютный контроль над тем, что вы положили в $_SESSION, поэтому есть некоторые типы проверок санитарии, которые следует выполнить перед тем, как поместить значения в $_SESSION (например, передал ли пользователь массив,дольше, чем разрешено и т. д.).

Однако, если вы спрашиваете, следует ли экранировать строки перед передачей их в базу данных, ответ - да (действительное имя пользователя может содержать или не содержатьсимвол ', например).А еще лучше, если возможно, использовать подготовленные заявления.

Answer 3

на самом деле не эксперт по безопасности, но вы можете разыграть его в любом случае (int) $_SESSION['user_id']

Answer 4

Вы всегда можете использовать session_id() вместо этого, который должен работать.