1. घर
  2. सवाल और जवाब
  3. क्या कोई सत्र गलत साबित हो सकता है?

क्या कोई सत्र गलत साबित हो सकता है?

2008-12-09 14 views
5

मुझे SQL इंजेक्शन को रोकने के लिए मेरे सभी एएसपी कोड की जांच करने की आवश्यकता है।क्या कोई सत्र गलत साबित हो सकता है?

क्या मुझे सत्र ऑब्जेक्ट भी देखना चाहिए?

एक सत्र को अपहरण कैसे किया जा सकता है?

धन्यवाद !!

स्रोत

2008-12-09 March

+0

इस सवाल को कम क्यों करें? व्याकरण त्रुटि के अलावा, मुझे लगता है कि यह एक वैध सवाल है। – Salamander2007

+0

शायद आप नीचे आ गए हैं क्योंकि प्रश्न पाठ में फोकस की कमी है। विषय इंगित करता है कि आप अपहरण के बारे में बात करना चाहते हैं लेकिन पाठ एसक्यूएल इंजेक्शन के बारे में बात करना शुरू कर देता है। – AnthonyWJones

उत्तर

3

सत्र को अपहरण किया जा सकता है। अगर मुझे सही याद है, क्लासिक एएसपी केवल कुकी-आधारित सत्र पहचानकर्ता का समर्थन करता है। अगर कोई उस कुकी (तार-टैप) को चुरा लेने में सक्षम था तो वे वैध उपयोगकर्ता के समान सत्र प्राप्त कर सकते हैं।

क्या आपको सत्र ऑब्जेक्ट भी देखना चाहिए? वह निर्भर करता है। यदि आप यह सुनिश्चित कर सकते हैं कि सत्र में संग्रहीत सभी ऑब्जेक्ट "सुरक्षित" है (इनपुट को संचरित किया गया है), तो आप सत्र ऑब्जेक्ट को छोड़ सकते हैं। यदि आपके आवेदन में कहीं भी आपको असुरक्षित स्रोत से डेटा मिलता है और इसे सत्र ऑब्जेक्ट में डाल दिया जाता है, तो आपको इसे भी देखना होगा।

स्रोत

2008-12-09 09:14:08 Salamander2007

3

एसक्यूएल इंजेक्शन से बचने के लिए, तारों को संयोजित करके SQL क्वेरी बनाने के बजाय पैरामीटरयुक्त क्वेरी का उपयोग करें। सत्र अपहरण एक पूरी तरह से अलग विषय है। प्रत्येक अनुरोध के साथ सत्र कुकी को बदलकर इसे और अधिक कठिन बना दिया जा सकता है, और HTTPS का उपयोग करके पूरी तरह से बचा जा सकता है। एक संबंधित (और बड़ी) समस्या क्रॉस-साइट अनुरोध जालसाजी है (इसे देखो)।

स्रोत

2008-12-09 09:10:50

1

ठीक है, आपको केवल उपयोगकर्ता इनपुट सुरक्षित करने की आवश्यकता है। तो सवाल यह है कि आपको खुद से पूछना है: "क्या यह डेटा उपयोगकर्ता इनपुट से आया था?" यदि ऐसा है तो आपको एसक्यूएल पैरामीटर का उपयोग करना होगा।

एक बड़े पैमाने पर, और इस बात पर विचार करते हुए कि आपके पास डेटा एक्सेस करने के लिए & कक्षाएं हैं, तो आपको अपने एसक्यूएल को प्रदान किए गए प्रत्येक पाठ पैरामीटर के लिए पैरामीटर एसक्यूएल करना चाहिए। इस परिदृश्य में एसक्यूएल पैरामीटर वास्तव में जरूरी नहीं है क्योंकि यदि आपको विधि पैरामीटर के रूप में कोई संख्या प्राप्त होती है तो इसमें कोई एसक्यूएल इंजेक्शन नहीं हो सकता है।

हालांकि, जब संदेह में एसक्यूएल पैरामीटर का उपयोग होता है।

स्रोत

2008-12-09 09:37:14 Sergio

1

सत्र चर सर्वर पर स्मृति में संग्रहीत हैं। क्लाइंट पर केवल एक कुकी आईडी संग्रहीत की जाती है। सत्र में चर के बारे में चिंता करने की कोई आवश्यकता नहीं है, वे ग्राहक से आते हैं। कई बार एसक्यूएल इंजेक्शन के लिए डेटाबेस में पास किए गए सभी चरों को जांचना आसान हो सकता है।

स्रोत

2008-12-11 02:55:08 Espen

 संबंधित मुद्दे

  • कोई संबंधित समस्या नहीं^_^