我的问题很简单,我有这个会话用户:
$user = $_SESSION['user'];
我想用它做一个选择:
select * from online where user='$user' order by id desc LIMIT 1
我是否需要像处理POST和GET一样准备一个$_SESSION变量?如果我没有,是否有SQL注入的机会?
select * from online where user=? order by id desc LIMIT 1
1。我是否需要像处理POST和GET一样准备一个$_SESSION变量
是的。它和普通的秃头$_POST
和$_GET
一样不安全。
2.如果没有,是否有注入sql的机会
有一种叫做会话劫持的东西,它使会话(几乎)一切都成为可能。你肯定需要调查一下。正如我之前所说,会话与$_POST
和$_GET
一样不安全。所以,是的,您有机会进行SQL注入。