如何以编程方式清理ColdFusion cfquery参数?
如何以编程方式清理ColdFusion cfquery参数?
提问于 2008-09-15 16:28:08
我继承了一个大型的遗留ColdFusion应用程序。有成百上千的一些sql here #variable#语句需要参数化,如下所示:
我如何开始以编程方式添加参数化?
我曾考虑过编写一些正则表达式或sed/awk'y类型的解决方案,但似乎有人在某个地方解决了这样的问题。自动推断sql类型的奖励积分。
回答 5
Stack Overflow用户
发布于 2008-09-15 16:41:46
有一个查询参数扫描程序可以在RIAForge上为你找到它们:http://qpscanner.riaforge.org/
Stack Overflow用户
发布于 2008-09-15 17:47:54
这里引用了一个脚本:http://www.webapper.net/index.cfm/2008/7/22/ColdFusion-SQL-Injection,它将为您完成大部分繁重的工作。您所要做的就是检查查询,并确保语法能够正确解析。
没有理由不使用CFQueryParam,除了它更安全之外,它还可以提高性能,并且是处理基于字符的列类型中的引号的最佳方法。
Stack Overflow用户
发布于 2008-09-16 22:52:37
请记住,您可能无法用来解决所有问题。
我见过许多示例,其中order by字段名被传递到查询字符串中,这是一个需要解决的稍微棘手的问题,因为您需要以一种更“手动”的方式进行验证。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/64432
复制相关文章
相似问题
腾讯云开发者
