通常我在我的应用程序中使用整数 id,但是对于这个开发人员,我正在查找一个文本字段 - 一个标签名称。
我确实使用了 cfqueryparam 但考虑到它是一个文本字段,它是否容易受到 sql 注入(inject)攻击,如果是这样,除了繁琐地在字符串中搜索 SQL 命令之外,其他人如何解决这个问题。
我的查询类似于:
SELECT tagId -- etc etc
FROM tag
WHERE tagName = <cfqueryparam cfsqltype="cf_sql_varchar" maxlength="50" value="#arguments.tagName#" />
谢谢
最佳答案
这是安全的,因为您使用的是 <cfqueryparam> .这就是标签的作用。它将值作为文本(或任何 cfsqltype 恰好是)发送,而不是要执行的命令。
关于sql - 这是 Coldfusion 查询 SQL 注入(inject)证明吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7030676/