我使用此方法获取访问者IP Request.UserHostAddress.ToString()
是否有可能被欺骗或用于sql注入。有什么风险和可能性。谢谢。
asp.net 4.0,c#4.0,IIS 7.5
答案 0 :(得分:3)
没有。 IP来自带有Web服务器的套接字。它不能被欺骗(多于一个请求)。如果IP被欺骗,客户端只能向服务器发送请求,并且永远不会看到回复。
我无法看到如何在SQL注入中使用它,即使它直接在SQL语句中使用。它是一个IP地址,即使它是假的,也不能是SQL代码。
<强>摘要:
欺骗:如果用户必须在您的站点中导航(进行多次页面调用)。然后他的IP需要是正确的(不是欺骗)。
注入:用户不能将任何值放入UserHostAddress:它需要是一个IP地址,因此如果注入到SQL语句中就不会有害。
答案 1 :(得分:1)
IP地址本身可能是欺骗性的,但极不可能。
它不能用于SQL注入。