可以欺骗Request.UserHostAddress.ToString()吗? asp.net 4.0 - iis 7.5

时间:2011-11-17 16:37:09

标签: asp.net request ip spoof

我使用此方法获取访问者IP Request.UserHostAddress.ToString()

是否有可能被欺骗或用于sql注入。有什么风险和可能性。谢谢。

asp.net 4.0,c#4.0,IIS 7.5

2 个答案:

答案 0 :(得分:3)

没有。 IP来自带有Web服务器的套接字。它不能被欺骗(多于一个请求)。如果IP被欺骗,客户端只能向服务器发送请求,并且永远不会看到回复。

我无法看到如何在SQL注入中使用它,即使它直接在SQL语句中使用。它是一个IP地址,即使它是假的,也不能是SQL代码。

<强>摘要

欺骗:如果用户必须在您的站点中导航(进行多次页面调用)。然后他的IP需要是正确的(不是欺骗)。

注入:用户不能将任何值放入UserHostAddress:它需要是一个IP地址,因此如果注入到SQL语句中就不会有害。

答案 1 :(得分:1)

IP地址本身可能是欺骗性的,但极不可能。

它不能用于SQL注入。