tsql - 在查询查询中使用 CFQUERYPARAM 是否有任何合乎逻辑的理由？

Question

我主要使用CFQUERYPARAM以防止 SQL 注入(inject)。由于 Query-of-Queries (QoQ) 不涉及数据库，是否有任何逻辑理由在其中使用 CFQUERYPARAM？我知道与 cfsqltype 不匹配的值和 maxlength会抛出异常，但是，这些值应该在此之前已经过验证并显示友好的消息(从用户体验的角度来看)。

Answer 1

由于 Query-of-Queries (QoQ) 不涉及数据库，是否有任何逻辑理由在其中使用 CFQUERYPARAM？实际上，它确实涉及数据库，即您当前存储在内存中的数据库。该数据库中的数据理论上仍然可以通过用户的某种注入(inject)来篡改。这会影响您的物理数据库吗？不。这是否会影响应用程序中数据的使用 - 是的。

您没有提供任何具体细节，但我会谨慎行事。如果 任何您用于构建查询的数据来自客户端，然后使用 cfqueryparam在他们中。如果您可以保证查询中没有任何元素来自客户端，那么我认为不使用 cfqueryparam 是可以的。 .

顺便说一句，使用 cfqueryparam也有助于优化数据库的查询，尽管我不确定这是否适用于查询查询。它还像撇号一样为您转义字符。