Tôi đang chuyển PHPSESSID tới trang PHP (qua POST) và tôi đã tự hỏi cách tốt nhất để khử trùng đầu vào là gì. mysql_real_escape_string
có đủ không? Có điều gì đặc biệt tôi nên đưa vào tài khoản khi giao dịch với ID phiên (ý tôi là, chúng chỉ có thể là chữ cái và số phải không?)?Vệ sinh PHPSESSID
EDIT: Để làm rõ những câu hỏi, những gì tôi thực sự muốn biết là: nếu ai đó tampers với các dữ liệu POST, ông có thể gửi một chuỗi độc hại như PHPSESSID mà có thể làm một cái gì đó khó chịu khi tôi gọi session_id($_GET['PHPSESSID'])
? Cá nhân tôi không thể nghĩ ra bất kỳ, nhưng tốt hơn an toàn hơn xin lỗi ...
Cảm ơn
nico
Tại sao bạn muốn vệ sinh nó? Đó là (trong hầu hết các trường hợp) được tạo tự động. – fabrik
+1 cho tư duy có ý thức bảo mật tốt –
@abrik: Tất nhiên nó được tạo tự động, tôi chỉ lo lắng rằng ai đó có thể giả mạo dữ liệu POST và làm điều gì đó khó chịu với nó. Không chắc họ có thể làm gì, nhưng đó là lý do tại sao tôi hỏi câu hỏi này! – nico