在PHP會話中存儲POST數據時的安全隱患

Question

我想在PHP會話中保存一些POST數據，就像這樣。

$_SESSION['items'] = $_POST; 

我打算在將這些數據保存到數據庫中之前通過更多的頁面來攜帶這些數據。數據的類型是文本，所以它可以是任何東西，包括SQL注入。

我將在之前將數據保存在我的數據庫中，但只有在會話中保存了一段時間之後，纔會將其中的數據保存在我的數據庫中。

我的問題是如果保存聯合國在會話中消毒的原始POST數據提出了一個安全問題，即使它稍後將被消毒。

謝謝。

Answer 1

只要您在使用它之前對其進行清理，將未經處理的用戶數據存儲在會話中是安全的。我能想到的唯一例外就是如果你使用的數據庫會話處理程序希望在將數據存儲到會話中之前清理數據。

這樣說的話，我認爲這裏存在安全問題。 PHP程序員有線看$_POST並認爲不安全。對於$_SESSION也是如此（或者不是這樣）。您或者與您的應用程序一起工作的人可能在某個時候決定他們需要對會話變量進行一些操作，並假定它已經過了清理。

一般來說，我認爲最好在您收到數據後儘快清理數據。