在 PHP 会话中存储 POST 数据时的安全隐患

Question

我想在我的 PHP 会话中保存一些 POST 数据，就像这样。

$_SESSION['items'] = $_POST;

我计划在将这些数据保存到数据库之前再通过几页传送这些数据。数据的类型是文本，所以可以是任何东西，包括SQL注入。

在将数据保存到我的数据库中之前，我将对其进行清理，但仅在将其保存在会话中一段时间​​之后。

我的问题是，如果在会话中保存 UN经过清理的原始 POST 数据会带来安全问题，即使稍后会对其进行清理。

谢谢。

Answer 1

在会话中存储未经清理的用户数据是安全的，只要在使用前对其进行清理即可。我能想到的唯一例外是，如果您使用的数据库会话处理程序希望您在将数据存储到会话中之前对其进行清理。

话虽如此，我认为这里存在安全问题。 PHP 程序员看到$_POST 并认为不安全。对于$_SESSION，情况并非如此（或不正确）。您或使用您的应用程序的人可能会在某个时候决定他们需要对会话变量执行某些操作，并假设它已经过清理。

一般来说，我认为最好在收到数据后立即对其进行清理。