PHPセッションにPOSTデータを保存したいのですが。
$_SESSION['items'] = $_POST;
データベースに保存する前に、このデータをさらに2、3ページ運ぶ予定です。データのタイプはテキストであるため、SQLインジェクションを含めて何でもかまいません。
データベースに保存する前にデータをサニタイズしますが、セッションにしばらく保存した後でのみです。
私の質問は、国連でサニタイズされた生のPOSTデータをセッションに保存すると、後でサニタイズされる場合でも、セキュリティ上の懸念が生じるかどうかです。
ありがとう。
使用する前にサニタイズする限り、サニタイズされていないユーザーデータをセッションに保存しても安全です。私が考えることができる唯一の例外は、セッションに保存する前にデータをサニタイズすることを期待するデータベースセッションハンドラーを使用している場合です。
そうは言っても、ここにはセキュリティ上の懸念があると私は主張します。PHPプログラマーは$_POST
、安全ではないと考えて考えるようになっています。同じことは、の場合には当てはまりません(または当てはまりません)$_SESSION
。あなた、またはアプリケーションを操作している誰かが、ある時点で、セッション変数を使用して何かを行う必要があると判断し、それがすでにサニタイズされていると想定する場合があります。
一般的に、データを受け取ったらすぐにサニタイズするのが最善だと思います。
この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。
侵害の場合は、連絡してください[email protected]
コメントを追加