请看下面的代码:
$username = $_POST['username'];
$_SESSION['user_name'] = $username;
在设置 $username 值时是否也必须使用 mysql_real_escape_string() 函数?如果我不这样做,这里有什么威胁吗?
注意:我想使用 MySQL 时使用了 PDO。
最佳答案
不,您不需要在那里以任何方式转义它。如果将文本与某些字符可能具有特殊含义的其他文本连接起来,则只需要对文本进行转义。参见 The Great Escapism (Or: What You Need To Know To Work With Text Within Text) .
关于php - 我们在处理 session 时必须使用 mysql_real_escape_string() 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11626084/