5
Ich muss alle meine ASP-Code überprüfen, um SQL-Injektion zu verhindern.Kann eine Sitzung gefälscht werden?
Sollte ich das Sitzungsobjekt auch überprüfen?
Wie könnte eine Sitzung entführt werden?
Vielen Dank !!
A
Antwort
3
Sitzung kann entführt werden. Wenn ich mich richtig erinnere, unterstützt Classic ASP nur die auf Cookies basierende Sitzungskennung. Wenn jemand in der Lage war, diesen Cookie zu stehlen, kann er dieselbe Sitzung wie der berechtigte Benutzer erhalten.
Sollten Sie auch das Session-Objekt überprüfen? das hängt davon ab. Wenn Sie sicherstellen können, dass alle in Sitzungen gespeicherten Objekte "sicher" sind (die Eingabe wurde bereinigt), können Sie das Sitzungsobjekt überspringen. Wenn Sie irgendwo in Ihrer Anwendung Daten von unsicheren Quellen erhalten und sie in das Session-Objekt einfügen, müssen Sie dies ebenfalls überprüfen.
3
Um SQL Injection zu vermeiden, verwenden Sie parametrisierte Abfragen, anstatt die SQL-Abfragen durch Verketten von Strings zu erstellen. Session-Hijacking ist ein völlig anderes Thema. Dies kann dadurch erschwert werden, dass der Sitzungscookie bei jeder Anforderung geändert und mithilfe von HTTPS vollständig vermieden wird. Ein verwandtes (und größeres) Problem ist die siteübergreifende Anfragefälschung (nachschlagen).
1
Nun, Sie müssen nur wirklich Benutzereingaben sichern. Die Frage, die Sie sich stellen müssen, lautet also: "Sind diese Daten von Benutzereingaben gekommen?" Wenn ja, müssen Sie SQL-Parameter verwenden.
In einem größeren Maßstab, und unter Berücksichtigung, dass Sie einzelne Methoden & Klassen haben, um den Datenzugriff durchzuführen, sollten Sie SQL-Parameter für jeden Textparameter, den Sie an Ihre SQL bereitstellen. In diesem Szenario sind SQL-Parameter nicht wirklich notwendig, denn wenn Sie eine Zahl als Methodenparameter erhalten, gibt es keine Möglichkeit, eine SQL-Injektion zu haben.
Im Zweifelsfall jedoch SQL-Parameter verwenden.
1
Sitzungsvariablen werden im Speicher auf dem Server gespeichert. Nur eine Cookie-ID ist auf dem Client gespeichert. Sie müssen sich keine Gedanken über Variablen in der Sitzung machen, es sei denn, sie stammen vom Client. Oftmals kann es jedoch einfacher sein, alle Variablen zu überprüfen, die für die SQL-Injektion an die Datenbank übergeben werden.
Verwandte Themen
- 1. Kann $ _SERVER ['REMOTE_USER'] gefälscht werden?
- 2. Kann eine Python-Liste erstellt und gefälscht werden?
- 3. Wie kann auf eine multidimensionale Hash-Sitzung zugegriffen werden?
- 4. cakephp Sitzung kann nicht geschrieben werden
- 5. FakeItEasy tief verschachtelte Arten gefälscht
- 6. UWP Windows.Web.HttpClient gefälscht für Komponententest
- 7. Kann ich mit meinem Server auf eine Weise kommunizieren, die von Dritten nicht erkannt und gefälscht werden kann?
- 8. Python-Registerkarten gefälscht oder echt
- 9. Wie kann ich überprüfen, dass die Absenderadresse nicht gefälscht ist?
- 10. Wie kann man wissen, ob eine Sitzung
- 11. Wie kann ich eine PHP-Sitzung beenden?
- 12. Sitzung konnte nicht gelöscht werden
- 13. Kann ein Oracle-Trigger für die aktuelle Sitzung deaktiviert werden?
- 14. Datenbank kann nicht wiederhergestellt werden, Datenbank wird von Sitzung verwendet
- 15. Nur Variablen sollten als Referenz in Sitzung Sitzung erstellt werden
- 16. Kann ich Datenbankeinträge erstellen, die an eine Sitzung gebunden sind und gelöscht werden, wenn die Sitzung zerstört wird?
- 17. SQL * Loader-128: Sitzung kann nicht gestartet werden
- 18. Kann die Swift REPL innerhalb einer SSH-Sitzung ausgeführt werden?
- 19. Sitzung nicht erstellt werden kann, nachdem Reaktion hat
- 20. Silex - Sitzung kann nicht auf Post-Anfrage verwendet werden
- 21. Kann eine Sitzung nicht auf eine Variable in Javascript
- 22. Schienen: Wie Daten in Sitzung gespeichert werden?
- 23. Kann eine Verbindung zu einer Multipeer Connectivity-Sitzung ohne Einladung hergestellt werden?
- 24. Wie kann eine bestimmte Sitzung beim Abmelden in Rails/w Devise ungültig gemacht werden?
- 25. Kann nicht an eine vorhandene Selenium-Sitzung über Geckodriver angeschlossen werden
- 26. Was in einer Sitzung gespeichert werden soll
- 27. Kann ich eine Powershell- "Sitzung" aus Python steuern
- 28. Wie kann ich feststellen, ob eine Klasse serialisiert werden kann?
- 29. Daten können nicht in Sitzung gespeichert werden
- 30. Nur eine Sitzung gleichzeitig zulassen
Warum diese Frage abgelehnt? Anders als Grammatikfehler denke ich, dass es eine legitime Frage ist. – Salamander2007
Sie wurden wahrscheinlich abgelehnt, weil der Fragetext nicht fokussiert ist. Das Thema zeigt an, dass Sie über Hijacking sprechen wollen, aber der Text spricht über SQL-Injection. – AnthonyWJones