会话可以伪造吗？

Question

我需要检查我的所有 asp 代码以防止 SQL 注入。

我也应该检查会话对象吗？

会话如何被劫持？

谢谢你！！

Answer 1

会话可能被劫持。 如果我没记错的话，Classic ASP 仅支持基于 cookie 的会话标识符。 如果有人能够窃取该 cookie（窃听），那么他们可以获得与合法用户相同的会话。

您也应该检查会话对象吗？ 那要看。 如果您可以确保会话中存储的所有对象都是“安全的”（输入已被清理），那么您可以跳过会话对象。 如果您的应用程序中的某个地方从不安全的来源获取数据并将其放入 Session 对象中，那么您也必须检查它。

Answer 2

为了避免 SQL 注入，请使用参数化查询，而不是通过连接字符串来构建 SQL 查询。 会话劫持是一个完全不同的话题。 通过更改每个请求的会话 cookie 可以使这种情况变得更加困难，而通过使用 HTTPS 可以完全避免这种情况。 一个相关的（也是更大的）问题是跨站点请求伪造（查找一下）。

Answer 3

好吧，您实际上只需要保护用户输入的安全。 因此，您必须问自己的问题是：“这些数据来自用户输入吗？” 如果是这样，您必须使用 sql 参数。

在更大的范围内，并考虑到您有单独的方法和方法。 类来执行数据访问，您应该为提供给 sql 的每个文本参数设置 sql 参数。 在这种情况下，sql 参数并不是真正必要的，因为如果您收到一个数字作为方法参数，则它不可能进行 sql 注入。

但是，当有疑问时请使用 sql 参数。

Answer 4

会话变量存储在服务器的内存中。 客户端上仅存储 cookie id。 无需担心会话中的变量，除非它们来自客户端。 很多时候，检查传递给数据库的所有变量以进行 SQL 注入会更容易。