5
A
回答
3
會話可被劫持。如果我沒有記錯,經典ASP僅支持基於cookie的會話標識符。如果有人能夠竊取該cookie(電線攻絲),那麼他們可以獲得與合法用戶相同的會話。
你應該檢查會話對象嗎?那要看。如果您可以確保會話中存儲的所有對象都是「安全的」(輸入已經過清理),那麼您可以跳過會話對象。如果您的應用程序中的某個地方從不安全的源獲取數據並將其放入Session對象中,那麼您也必須檢查它。
3
要避免SQL注入,請使用參數化查詢,而不是通過串聯字符串來構建SQL查詢。會話劫持是一個完全不同的話題。通過更改每個請求的會話cookie可以使問題變得更加困難,並通過使用HTTPS完全避免。一個相關的(也是更大的)問題是跨站點請求僞造(查看它)。
1
那麼,你只需要確保用戶輸入。所以你必須問自己的問題是:「這些數據是來自用戶輸入的嗎?」如果是這樣,你必須使用sql參數。
在更大的規模上,考慮到你有個別方法來執行數據訪問,你應該爲每個你提供給你的sql的文本參數使用sql參數。在這種情況下,sql參數並不是必須的,因爲如果你收到一個作爲方法參數的數字,它就沒有辦法進行sql注入。
但是,如果有疑問使用sql參數。
1
會話變量存儲在服務器的內存中。只有一個cookie ID存儲在客戶端上。沒有必要擔心會話中的變量,除非它們來自客戶端。很多時候,雖然可以更容易地檢查傳遞給數據庫的所有變量。
相關問題
- 1. 僞造會話/ Cookies?
- 2. CakePHP用戶僞造會話
- 3. 代理服務器是否可以僞造SSL證書?
- 4. 在C#MVC項目中添加會話以僞造httpContext
- 5. 是否可以在會話中進行會話?
- 6. $ _SERVER ['SERVER_NAME']是僞造/僞造的嗎?
- 7. $ _SERVER可以僞造成PHP嗎?
- 8. $ argv可以僞造成php嗎?
- 9. 是否有可能僞造(mp4)moov原子?
- 10. 是否有可能在C#中僞造Useragent?
- 11. 是否有可能僞造Django服務器的HttpRequest屬性
- 12. 是否有可能使用Curl僞造Cookie和JavaScript?
- 13. 是否可以通過計算機向Firebase僞造設備請求?
- 14. 我是否可以從發出請求的會話中放棄InProc ASP.NET會話?
- 15. 是否可以根據asp.net中的會話ID獲取會話信息?
- 16. 如何在ASP.Net Web窗體中模擬/僞造會話對象?
- 17. 要檢查會話是否可用
- 18. 無會話設計是否可行?
- 19. HttpContext.Current.Cache是否可用於所有會話
- 20. 在Android上僞造真正的電話
- 21. 使用Show僞造模態對話框?
- 22. 是否可以手動結束Google Analytics會話?
- 23. 是否可以區分頭,而會話激活
- 24. 是否可以在會話中存儲信用卡信息?
- 25. 是否可以跨多個訪客搜索會話
- 26. Can HazelCast是否可以創建並管理會話?
- 27. 是否可以使用voIP進行電話會議Android
- 28. 使用ASP.NET會話時是否可以強制請求併發?
- 29. Symfony2是否可以使用Javascript刪除會話變量?
- 30. 在Flurry會話期間是否可以切換用戶ID?
爲什麼要低調這個問題?除了語法錯誤之外,我認爲這是一個合理的問題。 – Salamander2007 2008-12-09 09:17:30