5
A
回答
3
會話可被劫持。如果我沒有記錯,經典ASP僅支持基於cookie的會話標識符。如果有人能夠竊取該cookie(電線攻絲),那麼他們可以獲得與合法用戶相同的會話。
你應該檢查會話對象嗎?那要看。如果您可以確保會話中存儲的所有對象都是「安全的」(輸入已經過清理),那麼您可以跳過會話對象。如果您的應用程序中的某個地方從不安全的源獲取數據並將其放入Session對象中,那麼您也必須檢查它。
3
要避免SQL注入,請使用參數化查詢,而不是通過串聯字符串來構建SQL查詢。會話劫持是一個完全不同的話題。通過更改每個請求的會話cookie可以使問題變得更加困難,並通過使用HTTPS完全避免。一個相關的(也是更大的)問題是跨站點請求僞造(查看它)。
1
那麼,你只需要確保用戶輸入。所以你必須問自己的問題是:「這些數據是來自用戶輸入的嗎?」如果是這樣,你必須使用sql參數。
在更大的規模上,考慮到你有個別方法來執行數據訪問,你應該爲每個你提供給你的sql的文本參數使用sql參數。在這種情況下,sql參數並不是必須的,因爲如果你收到一個作爲方法參數的數字,它就沒有辦法進行sql注入。
但是,如果有疑問使用sql參數。
1
會話變量存儲在服務器的內存中。只有一個cookie ID存儲在客戶端上。沒有必要擔心會話中的變量,除非它們來自客戶端。很多時候,雖然可以更容易地檢查傳遞給數據庫的所有變量。
相關問題
- 1. 是否可以僞造一個PHP會話ID?
- 2. 僞造會話/ Cookies?
- 3. CakePHP用戶僞造會話
- 4. 可以僞造document.referrer嗎?
- 5. 用FakeItEasy僞造一個nHibernate會話
- 6. 代理服務器是否可以僞造SSL證書?
- 7. 是否可以在會話中進行會話?
- 8. 在C#MVC項目中添加會話以僞造httpContext
- 9. $ _SERVER ['SERVER_NAME']是僞造/僞造的嗎?
- 10. 可以僞造頭部數據(websocket)?
- 11. 可以將facebook的$ _REQUEST [「signed_request」]僞造
- 12. $ argv可以僞造成php嗎?
- 13. PayPal IPN Notificaiton POST可以僞造嗎?
- 14. $ _SERVER可以僞造成PHP嗎?
- 15. 是否有可能僞造Django服務器的HttpRequest屬性
- 16. 是否有可能僞造(mp4)moov原子?
- 17. 是否有可能使用Curl僞造Cookie和JavaScript?
- 18. 是否有可能在C#中僞造Useragent?
- 19. 是否可以使用IIS反向代理指定(僞造)用戶代理?
- 20. 在大多數基於debian的系統上gnome-terminal是否可以僞造?
- 21. 是否可以通過計算機向Firebase僞造設備請求?
- 22. GWT RequestFactory:是否可以從客戶端向服務器發送僞造實體?
- 23. 是否可以僞造帖子或獲取casper中的請求,運行
- 24. 我是否可以從發出請求的會話中放棄InProc ASP.NET會話?
- 25. 是否可以根據asp.net中的會話ID獲取會話信息?
- 26. 要檢查會話是否可用
- 27. 無會話設計是否可行?
- 28. HttpContext.Current.Cache是否可用於所有會話
- 29. cycle_key是否破壞以前的會話?
- 30. 如何在ASP.Net Web窗體中模擬/僞造會話對象?
爲什麼要低調這個問題?除了語法錯誤之外,我認爲這是一個合理的問題。 – Salamander2007 2008-12-09 09:17:30