tommy saber replica reloj original lacoste imitacion identificar hilfiger diesel como casio session asp-classic sql-injection

session - saber - reloj fossil imitacion



¿Se puede falsificar una sesión? (4)

Bueno, solo necesitas asegurar las entradas del usuario. Entonces, la pregunta que debe hacerse es: "¿Estos datos provienen de la entrada del usuario?" Si es así debes usar los parámetros sql.

En una escala mayor, y teniendo en cuenta que tiene métodos y clases individuales para realizar el acceso a los datos, debe colocar los parámetros sql para cada parámetro de texto que proporcione a su sql. En este escenario, los parámetros sql no son realmente necesarios porque si recibe un número como parámetro de método no hay forma de que tenga una inyección SQL.

Sin embargo, cuando tenga dudas, use los parámetros sql.

Necesito verificar todo mi código asp para evitar la inyección de SQL.

¿Debo verificar el objeto de la sesión también?

¿Cómo podría ser secuestrada una sesión?

¡¡Gracias!!


La sesión puede ser secuestrada. Si mal no recuerdo, Classic ASP solo admite el identificador de sesión basado en cookies. Si alguien fue capaz de robar esa cookie (wire-tap), entonces puede ganar la misma sesión que el usuario legítimo.

¿Debería verificar el objeto de sesión también? eso depende. Si puede asegurarse de que todo el objeto almacenado en las sesiones es "seguro" (la entrada se ha desinfectado), puede omitir el objeto de sesión. Si en alguna parte de su aplicación obtiene datos de una fuente insegura y los coloca en el objeto Session, entonces debe verificarlos también.


Para evitar la inyección de SQL, use consultas parametrizadas en lugar de crear las consultas SQL concatenando cadenas. El secuestro de la sesión es un tema completamente diferente. Puede ser más difícil al cambiar la cookie de sesión con cada solicitud, y evitarse por completo mediante el uso de HTTPS. Un problema relacionado (y más grande) es la falsificación de solicitudes entre sitios (búscalo).


Las variables de sesión se almacenan en la memoria en el servidor. Solo se almacena una identificación de cookie en el cliente. No hay necesidad de preocuparse por las variables en la sesión A MENOS que provengan del cliente. Muchas veces puede ser más fácil verificar todas las variables pasadas a la base de datos para inyección sql.