个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
29
4
我有点不好意思地问这个问题,因为我应该知道答案。有人可以解释一下在下面的代码中是否以及如何发生注入(inject)吗?
<cfquery>
select * from tableName
where fieldName = '#value#'
</cfquery>
我特别好奇注入(inject)尝试和其他恶意输入,而不是处理“正常”用户输入的最佳实践或输入验证。我看到人们强烈提倡使用 CFQueryParam,但我认为我不明白这一点。如果已验证用户输入与数据库模式的一致性(例如,对于数字数据库字段,输入必须是数字),使用 CFQueryParam 是否还有其他好处?什么是<cfqueryparam CFSQLType = "CF_SQL_VARCHAR">这样做'#value#'不行吗?
最佳答案
更新:
虽然这回答了您的部分问题,Peter's response更好,因为它直接解决了您的问题“为什么使用 cfqueryparam,当 CF 通过转义单引号自动添加保护时?”。答:简而言之,因为后者并不总是有效。绑定(bind)变量。
It says in the docs "escapes string variables in single-quotation marks" but doesn't CF already "magically" do this in CF query tag when you wrap evaluated variables in single quotes?
是的,大多数版本自动转义单引号作为对那些不使用 cfqueryparam 的人的保护措施。然而,正如 Scott 上面指出的,最好使用 cfqueryparam(即绑定(bind)变量),因为它们 ensure parameters are not executed as sql commands .绑定(bind)变量有效,即使在自动转义不起作用的情况下也是如此,as Peter's answer demonstrates .
也就是说,sql 注入(inject)保护实际上只是使用绑定(bind)变量的副作用。使用绑定(bind)变量的主要原因是性能。 Bind variables encourage databases to re-use query plans ,而不是每次您的#parameters# 更改时都创建一个新计划。这减少了编译时间,提高了性能。
Cfqueryparam 还有很多其他的好处:
null 值处理的属性虽然它并不真正适用于字符串列,但 IMO 使用它的另一个重要原因是准确性。当您将带引号的字符串传递给数据库时,您依赖于 implicit conversion .本质上,您是将其留给数据库来确定如何最好地执行比较,而结果并不总是您所期望的。 (日期字符串是一个典型的例子)。您可能会以不准确的结果结束,或者有时查询速度变慢,具体取决于数据库决定执行 sql 的方式。使用 cfqueryparam 通过消除歧义避免了这些问题。
关于sql - ColdFusion 查询 - 注入(inject)保护,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18792320/
29
4
0
我正在尝试测试依赖于其他服务 authService 的服务 documentViewer angular .module('someModule') .service('docu
如果我的网站上线(不要认为它会,目前它只是一个学习练习)。 我一直在使用 mysql_real_escape_string();来自 POST、SERVER 和 GET 的数据。另外,我一直在使用 i
我有以下代码,它容易受到 SQL 注入(inject)的攻击(我认为?): $IDquery = mysqli_query($connection, "SELECT `ID` FROM users W
我一直在自学如何创建扩展,以期将它们用于 CSS 注入(inject)(以及最终以 CSS 为载体的 SVG 注入(inject),但那是以后的问题)。 这是我当前的代码: list .json {
这个简单的代码应该通过 Java Spring 实现一个简单的工厂。然而结果是空指针,因为 Human 对象没有被注入(inject)对象(所以它保持空)。 我做错了什么? 谢谢 配置 @Config
我正在编写一个 ASP.NET MVC4 应用程序,它最终会动态构建一个 SQL SELECT 语句,以便稍后存储和执行。动态 SQL 的结构由用户配置以用户友好的方式确定,具有标准复选框、下拉列表和
首先让我说我是我为确保 SQL 注入(inject)攻击失败而采取的措施的知己。所有 SQL 查询值都是通过事件记录准备语句完成的,所有运算符(如果不是硬编码)都是通过数字白名单系统完成的。这意味着如
这是 SQL 映射声称可注入(inject)的负载: user=-5305' UNION ALL SELECT NULL,CONCAT(0x716b6b7071,0x4f5577454f76734
我正在使用 Kotlin 和 Android 架构组件(ViewModel、LiveData)构建一个新的 Android 应用程序的架构,并且我还使用 Koin 作为我的依赖注入(inject)提供
假设 RequestScope 处于 Activity 状态(使用 cdi-unit 的 @InRequestScope) 给定 package at.joma.stackoverflow.cdi;
我有一个搜索表单,可以在不同的提供商中搜索。 我从拥有一个基本 Controller 开始 public SearchController : Controller { protected r
SQLite 注入 如果您的站点允许用户通过网页输入,并将输入内容插入到 SQLite 数据库中,这个时候您就面临着一个被称为 SQL 注入的安全问题。本章节将向您讲解如何防止这种情况的发生,确保脚
我可以从什么 dll 中获得 Intercept 的扩展?我从 http://github.com/danielmarbach/ninject.extensions.interception 添加了
使用 NInject 解析具有多个构造函数的类似乎不起作用。 public class Class1 : IClass { public Class1(int param) {...} public
我有一个 MetaManager 类: @Injectable() export class MetaManager{ constructor(private handlers:Handler
我是 Angular 的新手,我不太清楚依赖注入(inject)是如何工作的。我的问题是我有依赖于服务 B 的服务 A,但是当我将服务 A 注入(inject)我的测试服务 B 时,服务 B 变得未定
我正在为我的项目使用 android 应用程序启动、刀柄和空间。我在尝试排队工作时遇到错误: com.test E/WM-WorkerFactory: Could not instantiate co
我不确定这是什么糖语法,但让我向您展示问题所在。 def factors num (1..num).select {|n| num % n == 0} end def mutual_factors
简单的问题,我已经看过这个了:Managing imports in Scalaz7 ,但我不知道如何最小化注入(inject) right和 left方法到我的对象中以构造 \/ 的实例. 我确实尝
在我的 Aurelia SPA 中,我有一些我想在不同模块中使用的功能。它依赖于调用时给出的参数和单例的参数。有没有办法创建一个导出函数,我可以将我的 Auth 单例注入(inject)其中,而不必在
我是一名优秀的程序员,十分优秀!