sql - 如何防止coldfusion sql-injection on order by子句

标签 sql coldfusion sql-injection

由于 cfqueryparam 不能按顺序工作,使用 xmlformat 会停止 sql 注入(inject)吗?

ORDER BY #xmlformat(myVariable)#

谢谢,

最佳答案

http://www.petefreitag.com/item/677.cfm

绕过这个限制的一个好方法是使用 ListFindNoCase 函数,限制可排序的列名 , 例如:

<cfset sortable_column_list = "age,height,weight,first_name">
<cfquery ...>
  SELECT first_name, age, height, weight
  FROM people
  ORDER BY <cfif ListFindNoCase(sortable_column_list, url.sort_column)>#url.sort_column#<cfelse>first_name</cfif>
</cfquery>

关于sql - 如何防止coldfusion sql-injection on order by子句,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6863218/

上一篇:r - 创建 stackoverflow.com 的用户图像模式,identicon

下一篇:ember.js - 从外部拒绝/解决 promise

相关文章:

sql - 为什么 CTE 与临时表相比如此缓慢?

coldfusion - 创建按字母顺序索引的列表(ColdFusion + Microsoft SQL Server)

php - 清理输入到 Mysql 数据库的函数

php - 如何防止 PHP 中的 SQL 注入(inject)?

php - 您如何保护您的网站免受 PHP 中的本地文件包含和 SQL 注入(inject)?

mysql - 我如何更新多行mysql?

sql - 在存储过程中返回 Bigint

带日期的MySQL查询

coldfusion - 使用 cfinvoke 和 createObject 运行组件函数有什么区别?

asp.net - C# 部分类的 ColdFusion CFC 实现?

©2024 IT工具网  联系我们