Request.UserHostAddress.ToString() 可以被欺骗吗？ ASP.NET 4.0-IIS 7.5

Question

我使用此方法获取访问者 IP Request.UserHostAddress.ToString()

它是否有可能被欺骗或用于 SQL 注入。有哪些风险和可能性。谢谢。

ASP.NET 4.0、C# 4.0、IIS 7.5

Answer 1

不。IP 来自网络服务器的套接字。它不能被欺骗（对于多个请求）。如果IP被欺骗，客户端只能向服务器发送请求，而永远看不到回复。

我看不出它如何在 SQL 注入中使用，即使它是直接在 SQL 语句中使用的。即使它是假的，它也是一个 IP 地址，并且不可能是 SQL 代码。

摘要：

欺骗：如果用户必须在您的网站中导航（进行多次寻呼）。那么他的IP需要是正确的（不是欺骗的）。

注入：用户不能将任何值放入 UserHostAddress：它需要是一个 IP 地址，因此如果注入到 SQL 语句中不会造成损害。

Answer 2

IP 地址本身可能会被欺骗，但可能性极低。

它不能用于 SQL 注入。