Сессия может быть сфальсифицирована?
В соответствии с документацией вам нужно два модуля:
-
плагин преобразования
babel-plugin-transform-runtime(который у вас уже есть) [117 ]
и фактический модуль времени выполнения, который заполняет или иным образом включает функции во время выполнения (т. Е. В браузере): babel-runtime
, вы можете добавить его как (не-dev ) зависимость в package.json, как
"babel-runtime": "^6.26.0"
, или просто сделать
npm i babel-runtime --save
Другие люди, кажется, имеют ту же проблему с Вавилоном 6:
4 ответа
Сессия может быть угнана. Если я помню правильно, Классик, ASP только поддерживает основанный на cookie идентификатор сессии. Если кто-то смог украсть тот cookie (перехватывают) затем, они могут получить ту же сессию как законный пользователь.
Необходимо ли проверить Объект Сессии также? это зависит. Если можно удостовериться, что весь объект, хранивший на сессиях, "безопасен" (вход был санирован), то можно пропустить объект сессии. Если где-нибудь в Вашем приложении Вы получаете данные из небезопасного источника и помещаете его в объект Сессии, то необходимо проверить его также.
Переменные сеанса хранятся в памяти на сервере. Только идентификатор cookie хранится на клиенте. Нет никакой потребности волноваться о переменных на сессии, ЕСЛИ они не прибывают от клиента. Много раз может быть легче проверить, что все переменные передали базе данных для внедрения SQL все же.
Ну, только действительно необходимо защитить вводы данных пользователем. Так вопрос необходимо спросить себя: "Эти данные прибыли из ввода данных пользователем?" Раз так необходимо использовать sql параметры.
В большем масштабе, и полагая, что у Вас есть отдельные методы и классы для выполнения доступа к данным, Вы должны Вы sql параметры для каждого текстового параметра, который Вы предоставляете своему sql. В этом сценарии sql параметры не действительно необходимо, потому что при получении числа, поскольку параметр метода там не является никаким способом, которым это могло бы иметь внедрение SQL.
Однако, когда в сомнении используют sql параметры.
Для предотвращения Внедрения SQL используйте параметризированные запросы вместо того, чтобы создать SQL-запросы путем конкатенации строк. Перехват сеанса является совершенно другой темой. Это может быть сделано более трудным путем изменения сеансовых куки с каждым запросом и избежало полностью при помощи HTTPS. Связанное (и больше) проблемой является подделка запроса перекрестного сайта (ищите ее).