Я получаю ip посетителей этим методом Request.UserHostAddress.ToString()
Есть ли вероятность, что его можно подделать или использовать для внедрения sql. Каковы риски и возможности. Спасибо.
asp.net 4.0, C # 4.0, IIS 7.5
Я получаю ip посетителей этим методом Request.UserHostAddress.ToString()
Есть ли вероятность, что его можно подделать или использовать для внедрения sql. Каковы риски и возможности. Спасибо.
asp.net 4.0, C # 4.0, IIS 7.5
Нет. IP-адрес от сокета с веб-сервером. Его нельзя подделать (для более чем одного запроса). Если IP-адрес был подделан, клиент мог только отправить запрос на сервер и никогда не увидел бы ответа.
Я не понимаю, как его можно использовать в SQL-инъекции, даже если он был использован непосредственно в вашем операторе SQL. Это IP-адрес, даже если он поддельный, и не может быть кодом SQL.
Резюме:
Спуфинг: если пользователю нужно перемещаться по вашему сайту (сделать несколько обращений к странице). Тогда его IP-адрес должен быть правильным (не подделанным).
Внедрение: пользователь не может ввести любое значение в UserHostAddress: это должен быть IP-адрес, и поэтому он не может быть вредным, если будет введен в ваш оператор SQL.
Сам IP-адрес можно подделать, но это крайне маловероятно.
Его нельзя использовать для SQL-инъекций.