那些遇到过的问题

CFSWITCH可以在用于排序列时阻止SQL注入吗?

Moh*_*mad 2 coldfusion sql-injection

我使用以下技术来确保来自客户端的任何排序列参数都通过ListFindNoCase()函数:

<cfif ListFindNoCase("date,score", params.order) EQ 0>
   <cfset params.order = "date">
</cfif>
Run Code Online (Sandbox Code Playgroud)

这样,任何排序列请求在发送到服务器之前都会对列表值进行审查.然后我将以下代码添加到我的函数中:

<cfswitch expression="#params.order#">
   <cfcase value="date">
      <cfset params.order = "date DESC">
   </cfcase>
   <cfcase value="score">
      <cfset params.order = "score ASC">
   </cfcase>
   <cfdefaultcase>
      <cfset params.order = "date DESC">
   </cfdefaultcase>
</cfswitch>
Run Code Online (Sandbox Code Playgroud)

如果表达式与前两种情况不匹配,默认情况下总是将顺序设置为"date DESC",那么这不会使ListCaseNoFind()呈现冗余吗?

我想在删除ListFindNoCase()函数之前确保这是真的!

小智 5

当然,那是安全的.您正在对订单进行硬编码,因此无法注入无关的SQL.

归档时间:

查看次数:

178 次

最近记录:

14 年,9 月 前
相关归档
ColdFusion 2016剥离换行符并在一行上执行查询.使用SQL样式注释中断所有查询 6
SQL注入如何工作以及如何防范它 5
SQL注入:为什么下面的代码很危险? 5
未能捕获异常 3
如何忽略<br />如果<cfoutput>什么都不返回? 3
我可以在Javascript标记中包含coldfusion标记吗? 2
为什么SQL案例不起作用 2
如何使用Coldfusion获取FINAL重定向的URL 1
通过struct key对隐式结构的隐式数组进行排序 1
计算表格的统计数据 0
难疑归档
如何将某些内容附加到数组中? 2895
如何从YouTube API获取YouTube视频缩略图? 2291
深度克隆对象 2135
命令折叠代码的所有部分? 1576
如何计算列表项的出现次数? 1417
如何为项目中的单个文件禁用ARC? 1332
是否有"以前的兄弟"CSS选择器? 1253
如何在Vim中有效地处理多个文件? 1074
如何从"Bobby Tables"XKCD漫画中注入SQL? 1070
如何检查对象是否在JavaScript中有密钥? 1047