Como desarrollador web, ¿es peligroso almacenar la cookie del cliente (HTTP_COOKIE) y cualquier otra variable HTTP_ * en la base de datos?
Ejemplo para el contenido de la cookie:
PHPSESSID = 49g8iequfgjf5h9rjne88nqfs1; estante.session = BAh7CUkiD3Nlc3Npb25faWQGOgZFVEkiRTUyYzBhZTYyYmY2ZjI5OWVmZjM3% 0ANzk3NTA5MWQ1OTVjNTBkYjIzZDIwZmJlMzc2MGI5ODllYzU0NDQyMjkxMDQG% 0AOwBGSSINdHJhY2tpbmcGOwBGewhJIhRIVFRQX1VTRVJfQUdFTlQGOwBUSSIt% 0AMGNkYzFiOWRVlKrM2E4MWM0MTdmMWFkNDcwMGQxODBjM2Q4N2NhZQY7AEZJ% 0AIhlIVFRQX0FDQ0VQVF9FTkNPRElORwY7AFRJIi1lZDJiM2NhOTBhNGU3MjM0% 0AMDIzNjdhMWQxN2M4YjI4MzkyODQyMzk4BjsARkkiGUhUVFBfQUNDRVBUX0xB% 0ATkdVQUdFBjsAVEkibTVuZWFlOTcxNDkyOTM4YzJkY8923mIxZGRjOGQ3ZWMz% 0AMTk2MDM3ZGEGOwBGSSIKcHJvZGkGOwBGWwZ7BzoHaWRpEzoJbmFtZUkiCEhD% 0ASQY7AFRJIgljc3JmBjsARkkiRTFmN2M4NzVjZDQ2ZWMwNWM2YmM2MjU2MWMw% 0AZWI2NzU1Y2Y1NTQ2OWY1NmIyNmM3NGNjMWZhNjhhMjg3NDVhNTQGOwBG% 0AN
Respuestas
1 para la respuesta № 1Todo lo que se obtiene de una cookie o de la HTTPsolicitud debe ser tratada como entrada de usuario y no de confianza. Si se vuelve a almacenar en la base de datos, use una declaración preparada y evite concatenar las variables en el SQL.
En PHP, el uso de session_id()
Es preferible leer la cookie cruda para obtener el ID de sesión. Si el nombre de la sesión es diferente del predeterminado, la cookie no será nombrada PHPSESSID
.