那些遇到过的问题

这是Coldfusion查询SQL注入证明吗?

Pao*_*rdo 3 sql coldfusion

通常我在我的应用程序中使用整数id,但对于这一个dev我正在查找文本字段 - 标记名称.

我确实使用了cfqueryparam,但考虑到它是一个文本字段,它是否容易受到SQL注入攻击,如果是这样,除了繁琐地搜索字符串中的SQL命令之外,其他人如何解决这个问题.

我的查询看起来像:

SELECT tagId -- etc etc
FROM tag
WHERE tagName = <cfqueryparam cfsqltype="cf_sql_varchar" maxlength="50" value="#arguments.tagName#" />
Run Code Online (Sandbox Code Playgroud)

谢谢

cha*_*fer 8

由于您正在使用这一点,这是安全的<cfqueryparam>.这就是标签的作用.它将值作为文本(或任何cfsqltype碰巧)发送,而不是要执行的命令.

Dav*_*son 7

在大多数情况下是...为此进行SQL注入将非常困难.CFQUERYPARAM确实使sql注入查询几乎不可能.但是,请记住,对所有形式的攻击都没有任何效果.

归档时间:

查看次数:

1763 次

最近记录:

14 年,3 月 前
相关归档
如何将oracle sql结果输出到windows中的文件中? 29
如何在每个SQLite行中插入唯一的ID? 26
我什么时候应该使用C++而不是SQL? 24
SQlite数据库VS房间持久性库 22
如何在SQL Server 2008中启用Integration Services(SSIS)? 17
多部分标识符无法绑定sql 16
如何从SQL Server内存中清除SqlDependency? 12
如何使用SQLAlchemy获取与3元组条件列表匹配的行 11
SQL替换列表 11
LIMIT 和 OFFSET 上的参数不起作用 2
难疑归档
在JavaScript中深度克隆对象的最有效方法是什么? 5181
如何在JavaScript中验证电子邮件地址? 4099
.prop()vs .attr() 2249
我应该使用Vagrant还是Docker来创建一个孤立的环境? 2049
<快于<=? 1508
如何从其他线程更新GUI? 1331
Git push需要用户名和密码 1327
为什么不从List <T>继承? 1299
为什么自闭脚本标签不起作用? 1284
MVC和MVVM有什么区别? 1275