清理 PHPSESSID

发布于 2024-09-19 20:57:12 字数 361 浏览 10 评论 0原文

我正在将 PHPSESSID 传递到 PHP 页面（通过 POST），我想知道清理输入的最佳方法是什么。 mysql_real_escape_string 就足够了吗？在处理会话 ID 时，我应该考虑什么特别的事情（我的意思是，它们只能是字母和数字，对吗？）？

编辑： 为了澄清这个问题，我真正想知道的是：如果有人篡改了 POST 数据，他是否可以发送一个恶意字符串作为 PHPSESSID，当我调用 session_id($_GET['PHPSESSID']) 时，它会做一些令人讨厌的事情？我个人想不出任何办法，但安全总比抱歉好……

谢谢

nico

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

焚却相思 2024-09-26 20:57:13

很好的想法，但据我所知，没有必要清理这个输入。 PHPSESSID 将传递给 session_id()。

session_id 确实有一些限制：

根据会话处理程序，会话 ID 中并非允许使用所有字符。例如，文件会话处理程序仅允许 az AZ 0-9 、（逗号）和 -（减号）范围内的字符！

但是 session_id() 应该通过错误消息来处理与这些规则的偏差。（您可能希望捕获该错误消息并在错误时终止脚本。）

我看到的唯一真正的危险是当您使用例如连接到数据库的自定义会话处理程序时。在这种情况下，您将必须清理输入，例如使用mysql_real_escape_string()。然而，这应该发生在自定义会话处理程序内部。

不用说，如果您在其他上下文中使用会话 ID（例如，作为 HTML 表单中的参数），您需要对该特定输出采取必要的卫生措施（在这种情况下，htmlspecialchars()< /代码>）。

回复收藏 0 原文

心的憧憬 2024-09-26 20:57:13

如果您确实需要通过 POST 传递会话 ID（真的不明白为什么......）并且您知道您想要允许哪些字符，我会使用正则表达式来检查。

mysql_real_escape_string 用于数据库输入，需要数据库连接，并且不会清理任何内容，只是转义一些特殊字符。

回复收藏 0 原文

贪恋 2024-09-26 20:57:13

mysql_real_escape_string 就足够了吗？

错误的。您应该始终使用适当的方法对要写入值的位置进行数据清理。仅当您向 MySQL 数据库写入值时，才需要使用 mysql_real_escape_string() 。

从您的评论中不清楚您到底在做什么。您的意思是您在 PHP 中使用 curl 来创建 POST 吗？如果是这样，那么如果您将 CURLOPT_POSTFIELDS 作为数组传递，则不需要进行清理（严格来说不是这样 - 但curl 会为您完成） - 但如果您将 CURLOPT_POSTFIELDS 作为字符串传递，则需要对值进行 urlencode 。

您是否将值写入浏览器以便用户可以提交该值？在这种情况下，您可以使用 htmlentities() 将值写入表单字段。

还有别的事吗？

回复收藏 0 原文

~没有更多了~