Задался вопросов, вероятно, что не самым умным, но все же спрошу. Если выполняется запрос по каким-либо данным, которые содержаться в массиве $_SESSION, стоит ли пользоваться функцией mysql_real_escape_string? P.S. Наверное, паранойя развивается
А мало-ли, что в сессию было загнано. Вот форум недавно ломали, т.к. не фильтровался и не экранировался параметр из сессии.
ну здрасте приехали. при чем тут сессия? =) детский сад... Сессия такая же переменная как и все другие. если конечно вопрос не в том, что и как попадает в сессию, а вобще стоит ли слепо защищаться от сессии в принципе, типо как доверять ли сохранности и неприкосновенности ее содержимого - то тут все просто. =) Сессия такая же переменная, и сама по себе она не поменяется. Если кто-то получил возможность хозяйничать на сервере, то уже поздно пить боржоми. Так что паранойя не нужна, и можно спокойно кодить исходя из правила: что записал - то и получишь. А вот надо ли экранировать ТО, что записал - это вопрос банальный =) И ответ на него зависит имеено от того, ЧТО именно записал.
Так экранировать или нет? Я так понял, что да, но ведь сессия создается на стороне сервера и если она окажется опасной, то вероятно, что дело уже в сервере и панацеей экранирование не будет, т.к. пофиг будет, так?
экранировать надо в зависимости от того ЧТО у тебя в переменной, а не как она называется юзай prepare синтаксис короче =)