我想知道在 SQL 查询中使用 $_SESSION 数组中的任何内容之前是否需要转义它。
请注意,我不在我的应用程序中使用 cookie,因为我听说它们可以用于会话劫持(?)
多谢
你需要逃离每根弦您传递给 sql 查询,无论其来源如何。
即使它是您从数据库检索的数据。