我们已经知道可以使用外部代理工具修改URL和FORM范围变量.
例如,如果有人提出这样的请求 - http:\\website\index.cfm?a=1&b=2
这样,可以将值添加到.cfm页面的URL范围.
类似地,有任何方法可以添加/更改值以在ColdFusion中请求范围而不在代码中明确设置它.
我问这个是因为我们在CFM页面中有一个这样的代码.
<cfset request.uploadFileDir = application.fileDir & "\upload" />
<cffile action="upload" accept="application/pdf" destination="#REQUEST.uploadFileDir#" filefield="brochure" nameconflict="makeunique"/>
安全团队表示上述代码容易受到攻击,因为REQUESTJAVA中的范围可能被外部代理工具篡改/更改.由于ColdFusion是基于JAVA构建的,因此ColdFusion REQUEST也可能被外部代理工具篡改.这是正确的假设吗?JAVA和ColdFusion REQUEST范围相同吗?
最后一个主要问题 - 是否有任何方式对示例中上面提到的页面进行外部请求,修改REQUEST范围或更精确的REQUEST.uploadFileDir变量?
我想存储代码在coldfusion变量中执行所花费的时间.有一个名为cftimer的标记,显示代码执行所花费的时间.有没有办法将cftimer标签显示的时间存储在变量中?