HPW*_*PWD 9 sql coldfusion sql-injection
我为客户开发了一个网站,他们将在线发布商品图片.网址是www.domiainname.com/item-details.cfm?sku=125.有人试图浏览www.domiainname.com/item-details.cfm?sku=125%20and%203=3我收到通知的产生和错误.
我还收到了错误报告:
item-details.cfm?sku=1291+or+1=@@version--
item-details.cfm?sku=1291'+or+1=@@version
item-details.cfm?sku=1291+or+1=@@version
最后三个例子肯定是有人试图进入系统,对吧?
如果我们将此转换为存储过程,是否会降低或消除插入攻击的风险?
是的,似乎有人是恶意的.
使用cfqueryparam会阻止SQL注入攻击.如果有疑问(并且它是CF),请问Ben:
例:
<cfquery ...>
SELECT *
FROM Products
WHERE SKU=<cfqueryparam value="#URL.SKU#" cfsqltype="CF_SQL_INTEGER">
</cfquery>
| 归档时间: |
|
| 查看次数: |
4929 次 |
| 最近记录: |