由于 cfqueryparam 不能按顺序工作,使用 xmlformat 会停止 sql 注入(inject)吗?
ORDER BY #xmlformat(myVariable)#
谢谢,
最佳答案
http://www.petefreitag.com/item/677.cfm
绕过这个限制的一个好方法是使用 ListFindNoCase 函数,限制可排序的列名 , 例如:
<cfset sortable_column_list = "age,height,weight,first_name">
<cfquery ...>
SELECT first_name, age, height, weight
FROM people
ORDER BY <cfif ListFindNoCase(sortable_column_list, url.sort_column)>#url.sort_column#<cfelse>first_name</cfif>
</cfquery>
关于sql - 如何防止coldfusion sql-injection on order by子句,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6863218/