문제없이 작동하는 등록 양식이 있지만 최근에 나에게 UX에 대한 나쁜 습관이 있다고 지적되었습니다. 계정이 이미 존재하고 사용자가 채운 양식을 다시 채우지 않고 사용자를 등록 페이지로 다시 리디렉션하고 오류 메시지 만 표시합니다.
초기 등록 데이터가 체크 아웃 된 후 해당 전자 메일 계정이 이미 존재하는 경우 $ _SOSSION 데이터를 $ _SOSSION 데이터로 저장하면이 문제를 해결할 수있는 좋은 방법을 신속하게 파악했습니다. 사용자의 양식을 다시 채운 후에 파괴하십시오.
이제 내 질문에 : 모든 공격 유형에 취약한 $ _SESSION 변수가 있습니까? 아니면 $ _SESSION 안에 원시 입력 데이터를 저장하고 양식을 다시 채울 때 htmlspecialchars()를 사용하여 이스케이프 처리 할 수 있습니까?
일부 기본 위생 처리에는 항상 mysqli_real_escape_string()을 사용할 수 있습니다 –
'$ _SESSION' 변수는 일반적으로 디스크에 저장되며 물론 권한 설정이 잘못 될 수 있습니다. 암호와 같은 중요한 정보는 기억하지 않는 것이 좋습니다. $ _SESSION [ "foo"] = $ _POST;를 직접하지 마라. 왜냐하면 임의로 거대한 세션 파일/변수가 악의적 인 사용자로부터 유출 될 위험이 있기 때문이다. –
@ Anonymous.X 데이터베이스에 저장할 때까지 그렇게 할 필요가 없습니다. 그 기능을 다른 용도로 사용하는 것은 의도 된 목적을 벗어난 것입니다. –