5

我需要检查我所有的 asp 代码以防止 SQL 注入。

我也应该检查会话对象吗?

会话如何被劫持?

谢谢!!

4

4 回答 4

3

为避免 SQL 注入,请使用参数化查询,而不是通过连接字符串来构建 SQL 查询。会话劫持是一个完全不同的话题。通过在每个请求中更改会话 cookie 会变得更加困难,而使用 HTTPS 可以完全避免这种情况。一个相关(并且更大)的问题是跨站点请求伪造(查找)。

于 2008-12-09T09:10:50.497 回答
3

会话可以被劫持。如果我没记错的话,Classic ASP 只支持基于 cookie 的会话标识符。如果有人能够窃取该 cookie(窃听),那么他们可以获得与合法用户相同的会话。

你也应该检查会话对象吗?那要看。如果您可以确保存储在会话中的所有对象都是“安全的”(输入已被清理),那么您可以跳过会话对象。如果您在应用程序的某个地方从不安全的来源获取数据并将其放入 Session 对象中,那么您也必须检查它。

于 2008-12-09T09:14:08.697 回答
1

好吧,您只需要保护用户输入。所以你必须问自己的问题是:“这些数据是否来自用户输入?” 如果是这样,您必须使用 sql 参数。

在更大的范围内,考虑到您有单独的方法和类来执行数据访问,您应该为您提供给 sql 的每个文本参数使用 sql 参数。在这种情况下,sql 参数并不是真正需要的,因为如果您收到一个数字作为方法参数,那么它就不可能进行 sql 注入。

但是,当有疑问时使用 sql 参数。

于 2008-12-09T09:37:14.687 回答
1

会话变量存储在服务器的内存中。客户端上只存储了一个 cookie id。除非它们来自客户端,否则无需担心会话中的变量。很多时候,检查传递给数据库的所有变量以进行 sql 注入会更容易。

于 2008-12-11T02:55:08.353 回答