Tweet
Hi Leutz,
wie macht Ihr das mit den Inhalten aus der Variable $_SESSION bei Verwendung in Datenbankabfragen etc.?
Benutzt Ihr "mysql_real_escape_string" auch für Werte aus der $_SESSION Variaben oder geht Ihr davon aus, dass diese sauber sind?
Ist es möglich, dass jemand $_SESSION Variablen irgendwie vielleicht für Injections beeinflussen kann?
Die $_POST und $_GET ist klar, die muss man immer überprüfen.
Beispiel in der Session wir ein Sprachcode gespeichert:
$_SESSION['language_code'] = "ger"
Die Datenankanfrage könnte so aussehen:
$query = "SELECT (sprache) FROM language WHERE (code) = $_SESSION['language_code']";
Ist es möglich, dass irgendwie auch in die Variable $_SESSION Injections gemacht werden können?
Gruß
Oneside
wie macht Ihr das mit den Inhalten aus der Variable $_SESSION bei Verwendung in Datenbankabfragen etc.?
Benutzt Ihr "mysql_real_escape_string" auch für Werte aus der $_SESSION Variaben oder geht Ihr davon aus, dass diese sauber sind?
Ist es möglich, dass jemand $_SESSION Variablen irgendwie vielleicht für Injections beeinflussen kann?
Die $_POST und $_GET ist klar, die muss man immer überprüfen.
Beispiel in der Session wir ein Sprachcode gespeichert:
$_SESSION['language_code'] = "ger"
Die Datenankanfrage könnte so aussehen:
$query = "SELECT (sprache) FROM language WHERE (code) = $_SESSION['language_code']";
Ist es möglich, dass irgendwie auch in die Variable $_SESSION Injections gemacht werden können?
Gruß
Oneside
Kommentar