Может ли Request.UserHostAddress.ToString() быть подделан? asp.net 4.0 - iis 7.5
Я получаю посетителей IP с этим методом Request.UserHostAddress.ToString()
Есть ли шанс, что он может быть подделан или использован для инъекции SQL. Каковы риски и возможности. благодарю вас.
asp.net 4.0, C# 4.0, IIS 7.5
2 ответа
Нет. IP-адрес от сокета с веб-сервером. Он не может быть подделан (для более чем одного запроса). Если IP был подделан, клиент мог только отправить запрос на сервер и никогда не увидел бы ответ.
Я не могу понять, как его можно использовать в SQL-инъекции, даже если он был использован непосредственно в вашем операторе SQL. Это IP-адрес, даже если он был фальшивым и не мог быть кодом SQL.
Резюме:
Спуфинг: если пользователь должен перемещаться по вашему сайту (сделать более одного вызова страницы). Тогда его IP должен быть правильным (не поддельным).
Инъекция: пользователь не может поместить какое-либо значение в UserHostAddress: он должен быть IP-адресом и поэтому не может быть вредным, если внедрен в ваш оператор SQL.
Сам IP-адрес может быть подделан, но крайне маловероятно.
Его нельзя использовать для внедрения SQL.