Nat*_*ger 3 coldfusion sql-injection cfquery cfqueryparam
我继承了一个大型的传统ColdFusion应用程序.这里有数百个<cfquery>某些sql #variable#</ cfquery>语句,需要按照以下方式进行参数化:<cfquery>这里有一些sql <cfqueryparam value ="#variable#"/> </ cfquery>
如何以编程方式添加参数化?
我曾考虑过编写一些正则表达式或sed/awk'y类型的解决方案,但似乎有人在某个地方解决了这个问题.为自动推断sql类型而获得的奖励积分.
这里引用了一个脚本:http://www.webapper.net/index.cfm/2008/7/22/ColdFusion-SQL-Injection ,它将为您完成大部分繁重的工作.您所要做的就是检查查询并确保语法正确解析.
没有理由不使用CFQueryParam,除了它更安全,它是一个性能提升和处理基于字符的列类型中的引用值的最佳方法.