답변
세션을 도용 할 수 있습니다. 쿠키가 올바르게 기억되면 Classic ASP는 쿠키 기반 세션 식별자 만 지원합니다. 누군가가 그 쿠키 (도청 장치)를 훔칠 수 있다면 그들은 합법적 인 사용자와 동일한 세션을 얻을 수 있습니다.
세션 객체도 확인해야합니까? 조건에 따라서. 세션에 저장된 모든 객체가 "안전"(입력이 새 니타 이징)인지 확인할 수 있으면 세션 객체를 건너 뛸 수 있습니다. 애플리케이션의 어딘가에서 안전하지 않은 소스의 데이터를 가져 와서 세션 객체에 넣으면 그 데이터도 확인해야합니다.
SQL 삽입을 방지하려면 문자열을 연결하여 SQL 쿼리를 작성하는 대신 매개 변수화 된 쿼리를 사용하십시오. 세션 도용은 완전히 다른 주제입니다. 요청마다 세션 쿠키를 변경하면 더 어려워 질 수 있고 HTTPS를 사용하면 완전히 피할 수 있습니다. 이와 관련된 (그리고 더 큰) 문제는 사이트 간 위조 요청 (look up)입니다.
글쎄, 사용자 입력을 보안하기 만하면됩니다. 따라서 질문해야 할 질문은 "이 데이터가 사용자 입력에서 왔습니까?" 그렇다면 SQL 매개 변수를 사용해야합니다.
더 큰 규모로 데이터 접근을 수행하기위한 개별 메소드 & 클래스를 고려할 때 SQL에 제공하는 모든 텍스트 매개 변수에 대한 sql 매개 변수를 사용해야합니다. 이 시나리오에서는 SQL 매개 변수가 필요하지 않습니다. 메소드 매개 변수로 숫자를 수신하면 SQL 인젝션을 가질 수있는 방법이 없기 때문입니다.
그러나 의심 스러우면 SQL 매개 변수를 사용하십시오.
세션 변수는 서버의 메모리에 저장됩니다. 클라이언트에는 쿠키 ID 만 저장됩니다. 세션에서 변수를 걱정할 필요가 없습니다. 클라이언트에서 오는 것이 아닌 한. 많은 경우 SQL 주입을 위해 데이터베이스에 전달 된 모든 변수를 확인하는 것이 더 쉬울 수 있습니다.
- 1. .net에서 패킷을 위조 할 수 있습니까?
- 2. ObjectContext를 어떻게 위조 할 수 있습니까?
- 3. PHP 세션을 수동으로 편집 할 수 있습니까?
- 4. CodeIgniter의 session_id에서 세션을 다시로드 할 수 있습니까?
- 5. Coldfusion에서 선택적으로 세션을 활성화 할 수 있습니까?
- 6. ID로 PHP 세션을 복원 할 수 있습니까?
- 7. 다른 사용자의 세션을 종료 할 수 있습니까?
- 8. codeigniter 세션을 해킹 할 수 있습니까?
- 9. JavaScript + 쿠키로 세션을 스푸핑 할 수 있습니까?
- 10. Java EE에서 세션을 어떻게 관리 할 수 있습니까?
- 11. eclipse CDT에서 실행중인 프로그램에 디버깅 세션을 첨부 할 수 있습니까
- 12. 어떻게 장고 세션을 제대로 테스트 할 수 있습니까?
- 13. ASP.net : 세션 ID에서 수동으로 세션을 초기화 할 수 있습니까?
- 14. 브라우저가 한 서버에서 여러 세션을 유지 관리 할 수 있습니까?
- 15. SndVol에서 빈 오디오 세션을 표시하지 못하게 할 수 있습니까?
- 16. 스프링 보안 - 손실 된 세션을 복원 할 수 있습니까?
- 17. emacs-ess에서 R 세션을 어떻게 전환 할 수 있습니까?
- 18. 서버로드에 따라 주기적으로 세션을 재활용 할 수 있습니까?
- 19. 세션을 공유 할 SharedPreferences
- 20. CURL을 사용하여 세션을 관리 할 수 없음
- 21. cakephp - 컨트롤러에서 세션을 검색 할 수 없습니다.
- 22. 클라이언트의 webservice와 세션을 어떻게 유지할 수 있습니까?
- 23. 위조 확인 문제가 있습니다.
- 24. 위조 방지 HttpRequests
- 25. Javascript를 사용하여 PHP 세션을 읽을 수 있습니까?
- 26. 어떻게 세션을 깨끗하게 유지할 수 있습니까?
- 27. 우리는 PHP에서 끝없는 세션을 만들 수 있습니까?
- 28. 웹 세션에서 세션을 가질 수 있습니까?
- 29. Jsch를 사용하여 로컬 호스트에 대한 ssh 연결을 위조 할 수 있습니까?
왜이 질문을 downvote? 문법 오류 이외에, 나는 그것이 합법적 인 질문이라고 생각한다. – Salamander2007
질문 텍스트에 초점이 맞지 않으므로 아마 downvoted가 있습니다. 주제는 당신이 하이재킹에 대해 이야기하고 싶어한다는 것을 나타내지 만 텍스트는 SQL 주입에 대해 이야기하기 시작합니다. – AnthonyWJones