那些遇到过的问题

Coldfusion,安全cfc来自SQL注入攻击

Sno*_*Mac 1 coldfusion sql-injection cfc sql-server-2008

我有一堆外部表单,通过CFC将数据发布到数据库中.

我做的是

  1. 创建具有回发的表单
  2. 在帖子后面创建一个对象并将表单数据映射到对象(cfc)
  3. 使用CFparam对此类型和存储进行验证.范围
  4. 调用自定义方法来扫描字符串以使其免受攻击(似乎运行良好)
  5. 要插入的Cfquery.

我还能做什么或者应该做些什么来保护应用程序免受插入时的SQL攻击?我在select语句中使用CFqueryParam,我是否也应该在insert语句中使用?

简单CFC的示例: 

<!--- Instance Veriables ---> 
<cfparam name="THIS.firstPrintedField" type="string" default="#NullString#" />
<cfparam name="THIS.SecondPrintedField" type="string" default="#NullString#" />
<cfparam name="THIS.participantFullName" type="string" default="#NullString#" />
<cfparam name="THIS.studentStatus" type="string" default="#NullString#" />
<cfparam name="THIS.dob" type="date" default="#NullDate#" />
<cfparam name="THIS.readAndUnderStood_Day" type="string" default="#NullString#" />
<cfparam name="THIS.readAndUnderStood_Month" type="string" default="#NullString#" />
<cfparam name="THIS.readAndUnderStood_Year" type="string" default="#NullString#" />
<cfparam name="THIS.agreeToTerms" type="boolean" default="#NullBool#" /> 
<cfparam name="THIS.guardianFirstName" type="string" default="#NullString#" />
<cfparam name="THIS.guardianMiddleName" type="string" default="#NullString#" />
<cfparam name="THIS.guardianLastName" type="string" default="#NullString#" />
<cfparam name="THIS.DateTimeSubmited" type="date" default="#NullDate#" />

<cffunction access="public" name="addRecords" returntype="boolean">
    <cftry> 
        <!--- Sanitize the string properties --->
        <cfset Sanitize() />
        <cfquery datasource="#DSN#" name="qryAddRecords">
            INSERT INTO mod_OutdoorProgram_Waivers
            (
                firstPrintedField
                ,SecondPrintedField
                ,participantFullName
                ,studentStatus
                ,dob
                ,readAndUnderStood_Day
                ,readAndUnderStood_Month
                ,readAndUnderStood_Year
                ,agreeToTerms
                ,guardianFirstName
                ,guardianMiddleName
                ,guardianLastName
            )
            VALUES
            (
                '#THIS.firstPrintedField#'
                ,'#THIS.SecondPrintedField#'
                ,'#THIS.participantFullName#'
                ,'#THIS.studentStatus#'
                ,'#THIS.dob#'
                ,'#THIS.readAndUnderStood_Day#'
                ,'#THIS.readAndUnderStood_Month#'
                ,'#THIS.readAndUnderStood_Year#'
                ,'#THIS.agreeToTerms#'
                ,'#THIS.guardianFirstName#'
                ,'#THIS.guardianMiddleName#'
                ,'#THIS.guardianLastName#'
            )
        </cfquery>
        <cfcatch><cfreturn false /></cfcatch>
    </cftry>
        <cfreturn true />       
</cffunction>
Run Code Online (Sandbox Code Playgroud)

Def*_*ity 16

cfqueryparam应该随处可用,因为它是ColdFusions sql注入漏洞解决方案.

归档时间:

查看次数:

264 次

最近记录:

13 年 前
相关归档
在大型表上增加VARCHAR列的大小时会出现问题吗? 84
提高大型表上的SQL Server查询性能 84
如果列不存在于所有表中,请添加一列? 29
PostgreSQL中是否有类似SSIS的功能? 6
是否存在与phpinfo()相当的ColdFusion 5
SQL Server 2008 是否支持 CREATE ASSERTION 语法? 5
NVarChar变量比较 5
SQL Server Management Studio 2008 - 为什么我的左连接不会提供空记录? 2
SQL,关于加入的问题 2
如果数据不同,Union返回两行,如果相同,则返回一行!为什么? 1
难疑归档
如何在JavaScript中将数字格式化为美元货币字符串? 1711
静态类和单例模式之间的区别? 1708
接口和抽象类之间有什么区别? 1705
在JavaScript中将字符串转换为整数? 1603
LINQ中的多个"order by" 1537
Git如何处理符号链接? 1515
Tab键== 4个空格并在Vim中的花括号后自动缩进 1224
URL.Combine的URL? 1186
有条件地申请课程的最佳方式是什么? 1172
如何旋转Android模拟器显示? 1031