个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
当使用<cfquery>时和<cfqueryparam> (或 queryExecute ),ColdFusion(或者可能是 JDBC)将在将原始 SQL 查询发送到 MySQL 服务器之前对其应用自己的字符串替换。
这不如准备好的语句有效,并且如果 ColdFusion 服务器转义实现存在缺陷,则更有可能发生 SQL 注入(inject)。
Coldfusion 调试和跟踪将使查询看起来好像是作为准备好的语句进行处理的,但 MySQL 却显示不然。
这可以通过记录 sql 查询来证明: set global general_log=1;
观察日志, tail -f /var/lib/mysql/$(uname -n).log
日志应显示查询中的 PREPARE 语句和问号,但日志显示完整的查询,其中变量替换为问号。
是否可以强制 ColdFusion 使用正确的 PREPARE当 <cfquery> 时使用语句而不是字符串替换和<cfqueryparam>用于 MySQL 数据库?如果归结为 JDBC 连接字符串,则必须更改默认设置才能使用准备好的语句。
我认为答案可能存在于这里的某个地方:
最佳答案
JDBC 驱动程序的默认行为是根据 https://dev.mysql.com/doc/connector-j/5.1/en/connector-j-reference-configuration-properties.html 设置 useServerPrepStmts=false
将 useServerPrepStmts=true 添加到 CFIDE (。/cfide/administrator/enter.cfm) 下的 JDBC Connection String 参数>数据与服务>数据源
关于mysql - 是否可以将 cfqueryparams 作为准备好的语句参数发送到 MySQL?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38616800/
25
4
0
[编辑:根据 Leigh 的建议进行编辑 我一直有使用的问题 column like 比大约 30ms 慢。 column like 'abc%' 在缓存计划之前,两个查询大约同时运行约 60 毫
我根据此链接中提供的帮助编写了以下查询,querying binary column using like in sql server SELECT * FROM myTable WHERE Test
考虑以下: SELECT aColumn FROM aTable WHERE bColumn = AND cColumn = 'someConstant
我正在使用 Oracle,我有一个选择查询,我想从库存表中选择年份大于或等于 2000 年的查询。 Select * from Inventory where manufac_date >= 我只
我有一个自行提交的表单,其数据在提交后会在 cfquery 中使用。当用户提交小数而不是整数时,我遇到了问题。 这是轮胎尺寸 ... R19 R19.5 ... 然
我主要使用CFQUERYPARAM以防止 SQL 注入(inject)。由于 Query-of-Queries (QoQ) 不涉及数据库,是否有任何逻辑理由在其中使用 CFQUERYPARAM?我知道
更新: 我已将错误提交给 Adobe 并引用了这个 SO 问题 在出现问题的实际代码中,我决定只删除我对 cfqueryparam 的使用。我现在使用自定义函数根据类型格式化参数。我将不得不处理安
我确定我只是在使用 CFQUERYPARAM 时犯了这个可怕的错误,但这是我正在尝试做的事情: SELECT * FROM UsrMatchActualTR2 WHERE se
这让我非常困惑,因为我已经这样做了一百次,但现在它让我失望了。 我正在使用 CF 参数进行基本查询更新,而表的主键正在传递一个空值,导致严重失败。 即使我在 #form.id placeholder#
我正在努力成为一名优秀的 CF Web 开发人员并使用 围绕使其成为我的 SQL 查询的所有 FORM 或 URL 元素。 在这种情况下,我试图允许用户动态控制 ORDER BY 子句。 SEL
SELECT DISTINCT Table3.ID FROM Table1 INNER JOIN Table2 ON Table1.thisID = Table2.this
我有以下查询,运行时间为 16 毫秒 - 30 毫秒。 SELECT hash FROM jobs WHERE hash in( 'EBDA95630915EB80709C6
我有几个表单字段,用户可以在其中输入整数 数字、小数 数字,这两种类型都可以是正数或负数。换句话说,他们可以输入如下内容: 1 or 0.9 or 5.6745 or -10 or -0.9 or -
只要有1个cfqueryparam,cfquery就变成prepared statement了吗?还是有其他条件? 当 ORDER BY 子句或 FROM 子句是动态的时会发生什么?每个独特的组合都会
当使用时和 (或 queryExecute ),ColdFusion(或者可能是 JDBC)将在将原始 SQL 查询发送到 MySQL 服务器之前对其应用自己的字符串替换。 这不如准备好的语句有效,并
我有一些代码可以执行紧密循环以插入数千条记录,最近我介绍了 , CF 崩溃。 有点像... INSERT INTO Foo SET xx = , yy
我有一个类似的查询: 选择项目ID来自 itemTableWHERE itemID LIKE '%123%' itemTable 是 INT 类型。这个查询本身工作得很好,因为它会选择“12345”和
当使用多个 cfqueryparams 时,以下 cfquery 在 ColdFusion 中失败;但是,当它们未被使用或仅限于其中一个时,查询将返回预期结果: SELECT * FROM
我有一个问题: SELECT id FROM table WHERE field1= AND field2= AND field3=; Id在MySQL中是一个INTEGER,但是上面的查
我的旧项目包含许多未使用 cfqueryparam 的查询以防止 SQL 注入(inject)。有没有办法在每个表单字段的应用程序级别上使用一些功能来做类似的事情? 作为一个有 PHP 背景的初学者,
我是一名优秀的程序员,十分优秀!