기본적으로 웹 응용 프로그램을 만들고 있는데 보안 기능을 통해 가능한 한 강력한 응용 프로그램을 만들려고합니다.PHP에서 세션 변수를 기반으로 SQL 인젝션을 수행 할 수 있습니까?
내 앱에 로그인하면 세션 변수를 기반으로 해당 사용자를 추적합니다.
SQL을 수행 할 때 사용자 세션 변수를 사용하여 예를 들어 누구인지 확인합니다.
$name = $_SESSION['user_name'];
예제 쿼리는 다음과 같이 될 것이다 .. 읽기에서
$query1 = "SELECT * FROM tableName WHERE userName = '$name'";
온라인 사이트 내가 같은 것들을 사용하지 않아야 말한다 "SQL 문에서 사용자 입력을." 세션 변수를 사용하기 때문에 사용자가 SQL 문에 직접 액세스 할 수 없거나 세션 변수가 여전히 "사용자 입력"이라고 생각하는 것이 맞습니까?
난 그냥 같은 일반적인 SQL 주입 방지 방법을 통해 가야하지 않으면
...- 입력 유효성 확인 사용자를 만드는 사용자 권한을 확인
- (길이에 따라 데이터를 구문 등 인증) 최소 특권을가집니다. 사람이 만드는 어떤 의견에 미리
- 요법 ..
감사합니다.
[세션 중독] (http://en.wikipedia.org/wiki/Session_poisoning). – raina77ow