我用这种方法获取访问者的 ipRequest.UserHostAddress.ToString()
是否有可能被欺骗或用于sql注入。有什么风险和可能性。谢谢你。
asp.net 4.0,c# 4.0,IIS 7.5
问问题
1537 次
2 回答
3
不,IP 来自与 Web 服务器的套接字。它不能被欺骗(对于一个以上的请求)。如果 IP 被欺骗,客户端只能向服务器发送请求而永远看不到回复。
我看不出它是如何在 SQL 注入中使用的,即使它是直接在您的 SQL 语句中使用的。即使是假的也是IP地址,不能是SQL代码。
摘要:
欺骗:如果用户必须在您的网站中导航(进行不止一页调用)。那么他的 IP 需要是正确的(不是欺骗的)。
注入:用户不能将任何值放入 UserHostAddress:它必须是 IP 地址,因此如果注入到您的 SQL 语句中不会有害。
于 2011-11-17T16:40:09.957 回答
1
IP 地址本身可以被欺骗,但极不可能。
它不能用于 SQL 注入。
于 2011-11-17T16:39:42.220 回答