个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
最近有人提到我们通过表单提交向SQL数据库中插入数据的方法容易受到SQL注入(inject)攻击,希望得到一些建议来加强我们的安全。
这是将表单数据插入数据库的代码:
<cfquery name="InsRegistrant" datasource="#application.Datasource#" dbtype="odbc">
INSERT INTO Schedule_Registrations(
schedule_id,
first_name,
last_name,
phone_number,
email,
guest,
list_type,
datetime_registered
)
VALUES(
#url.schedule_id#,
'#FORM.first_name#',
'#FORM.last_name#',
'#CleanPhoneNumber#',
'#FORM.email#',
#attendee.guest#,
<!--- Values for list types
0 = NEVER USE Will cause many many problems
1 = Main List
2 = Waiting List --->
#attendee.list_type#,
#createodbcdatetime(now())#
)
</cfquery>
CleanPhoneNumber 是这样设置的:
<cfset CleanPhoneNumber = REReplace(form.phone_number, "[^0-9]", "", "ALL") />
我被告知要使用,例如,
<cfqueryparam cfsqltype="cf_sql_varchar" value="#form.phone_number#" />
但我不确定要替换什么以及在哪里替换。当我用这样的值替换值时,出现错误。
任何方向都会有帮助..
最佳答案
您应该将所有表单和 url 变量包装在 cfqueryparam
您的查询将如下所示:
<cfquery name="InsRegistrant" datasource="#application.Datasource#" dbtype="odbc">
INSERT INTO Schedule_Registrations(
schedule_id,
first_name,
last_name,
phone_number,
email,
guest,
list_type,
datetime_registered
)
VALUES(
<cfqueryparam cfsqltype="cf_sql_integer" value="#url.schedule_id#">,
<cfqueryparam cfsqltype="cf_sql_varchar" value="#FORM.first_name#">,
<cfqueryparam cfsqltype="cf_sql_varchar" value="#FORM.last_name#">,
<cfqueryparam cfsqltype="cf_sql_varchar" value="#CleanPhoneNumber#">,
<cfqueryparam cfsqltype="cf_sql_varchar" value="#FORM.email#">,
<cfqueryparam cfsqltype="cf_sql_integer" value="#attendee.guest#">,
<!--- Values for list types
0 = NEVER USE Will cause many many problems
1 = Main List
2 = Waiting List --->
<cfqueryparam cfsqltype="cf_sql_integer" value="#attendee.list_type#">,
#createodbcdatetime(now())#
)
</cfquery>
我不确定我得到的所有数据类型是否正确,请参阅 full documentation of cfqueryparam对于所有数据类型。
关于coldfusion - 形成数据到数据库 : preventing SQL injection,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8774035/
24
4
0
Wordpress 有一个名为 Akismet 的垃圾邮件过滤插件,它似乎能够将任何文本块分类为垃圾邮件。唯一需要注意的是,您需要浏览他们的界面,而且他们的数据库/算法不是开源的,也不是现成的。 还有
我想为 hmailserver 上的每个邮箱设置每天发送的最大电子邮件数,以避免垃圾邮件。我正在寻找在 hmailserver 管理和 COM API 中执行此操作的问题。 最佳答案 我相信 hMai
我已经在我的博客上放了验证码,我仍然收到垃圾邮件发送者,是否有脚本可以让他们这样做还是他们手工做? 最佳答案 这取决于您使用的验证码类型。一些用于生成 CAPTCHA 挑战的方法很容易通过光学字符识别
除了验证码之外,还有其他方法可以用于 pastie.org 或 p.ramaze.net 等网络应用程序吗?对于我的口味,CAPTCHA 需要太长时间才能制作小糊状物。 最佳答案 你可以试试 Hone
我有一个页面,登录用户可以在其中发表评论。我想阻止用户同时发表评论以防止垃圾邮件。为此,我希望评论之间有 30 秒的间隔(我应该将时间存储在 session 中吗?) .这个方法好吗? 最佳答案 se
我使用 Angular 5.2 和 Auth0 进行身份验证。登录由 Auth0 在托管登录页面上完成。该页面重定向到我的 Angular 应用程序中的回调页面 myapp.com/login-cal
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。 要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的,因为
是否可以使用 angularjs 拦截器来阻止请求? $provide.factory('myHttpInterceptor', function($q, someService) { retur
前几天发现了这个网站。您点击一个 DIV(按钮),它就会增加您的分数。 http://clickingbad.nullism.com/ 我自己想,我只需注入(inject) jQuery 并编写一个循
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的,
通过使用 jQuery 插件验证,我试图验证我的表单。当验证通过时,我希望 JavaScript 使用表单中的值触发,然后停止。浏览新/同一网站时无需实际提交表单。 这可以通过 jquery 验证实现
我有一个表单 Form1,它带有一个创建附加表单的按钮。但是,我只想一次创建 1 个附加表单。以下是我的代码实现。我尝试使用 Focus 属性,但它不起作用。 private void addLoca
我制作了自己的组件,它与一些 Unity 内置组件冲突(例如 Rigidbody 与 Rigidbody2D 冲突)。所以我需要确保这些组件不会一起存在于同一个游戏对象中。有办法吗?自己的组件是什么时
我尝试为 MySQL 数据库编写第一个触发器。它应该在当前时间和“容量”中的给定时间戳的上下文中防止在“course_student”上插入(以及稍后更新) ,但我仍然遇到语法错误。 DELIMITE
我的 PHP 脚本中有以下查询: SELECT SUM(score) + 1200 AS rating FROM users_ratings WHERE user_fk = ? 问题在于,如果用户在表
我有时会忘记从函数中返回结果: def f(*args): # do stuff result = # an expression # oops forgot to return resu
我试图搜索此内容,但没有找到任何答案。让我们看看这个: class Foo { Foo(); Bar a; // 'a', the object, gets created (even
我意识到恶意用户可以在提交表单之前在浏览器中修改表单的 html。例如,切换两个相同类型的输入字段的名称。 我正在创建一个很大程度上依赖于数据库中每个条目之间关系的网站。 如果发生这种情况,可能会危及
我有一个类,在类构造函数中我想检查已传递的几个参数,如果任何参数未通过检查,我想阻止该类初始化。我该怎么做? Class MyClass { MyClass(int no); }; MyClass:
我在 redis 中有一个散列,其中一个字段的值为字符串化数组,每当用户注册一个事件时, 从redis中获取这个字符串化数组 后台解析,将用户的用户名添加到数组中 将数组字符串化并存储回哈希 如果两个
我是一名优秀的程序员,十分优秀!