当涉及到 ColdFusion 时,如何防止 SQL 注入(inject)?我对语言/框架很陌生。
这是我的示例查询。
<cfquery name="rsRecord" datasource="DataSource">
SELECT * FROM Table
WHERE id = #url.id#
</cfquery>
我看到传入
url.id
作为风险。
最佳答案
使用 <cfqueryparam>
为您的 id 标记:
http://www.adobe.com/livedocs/coldfusion/6.1/htmldocs/tags-b20.htm
<cfquery name="rsRecord" datasource="DataSource">
SELECT * FROM Table
WHERE id =
<cfqueryparam value = "#url.id#"
CFSQLType = "CF_SQL_INTEGER">
</cfquery>
关于sql - 如何使用 ColdFusion 防止 SQL 注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2592700/