Столкнулся с такой мыслей.
Нужно ли фильтрировать сессии? Сейчас имеется такой код:
$user = mysql_fetch_assoc(mysql_query("SELECT * FROM `elewar_users` WHERE `id`='".$_SESSION['id']."' and `login`='".$_SESSION['login']."' and `password`='".$_SESSION['password']."' LIMIT 1"
,0);
ВОзможно стоит пропускать данные через mysql_real_escape_string и intval ?
$user = mysql_fetch_assoc(mysql_query("SELECT * FROM `elewar_users` WHERE `id`='".intval($_SESSION['id'])."' and `login`='".mysql_real_escape_string($_SESSION['login'])."' and `password`='".mysql_real_escape_string ($_SESSION['password'])."' LIMIT 1",0);
Как лучше посоветуете?
Favorit, если ты только записываешь без фильтрации пришедшие данные от пользователя, а так не надо
Зависит от ситуации.
Если ипользователь может передать произвольные данные в ту или иную сессию,то нужно, если нет - то нет.
Например в куки легко можно передать все что угодно, т.к это клиентская часть, в сессию же нет, потому что в браузере хранится только идентификатор сессии, в котором хранятся данные на сервере.
у меня такая ситуация, чел при авторизации получает сессию и все. Дальше просто если сессия активна ему пользователю доступно лазить по сайту на тех страничках которые доступны только авторизированным пользователям
Т.к пост 3 написал, если при записи логина, пасса в бд есть фильтр, то здесь не надо.
В твоем случаи — нужно. Но не так как ты это делаешь.
Да при записи логина и пасса пропускаю их через mysql_real_escape_string
что-то ваши мнения расходятся 
я при записи фильтрирую их
- 1 из 1
