通过this question我被告知开始使用cfqueryparam来处理我的数据,以防止SQL注入攻击。cfqueryparam questions/help
如何将它用于我的表单?现在我一直在讨论Ben Forta的第一卷,并将数据传递给我的表单,然后传递给一个称为CFC的表单处理器。 CFC将它们作为cfargument,然后将其注入到具有任何type =“x”验证的数据库中。
Io使用cfqueryparam,我在查询本身使用它,甚至没有声明cfargument?
您仍然可以使用CFC,但请记住,作为函数参数传递的字符串数据仍然需要<cfqueryparam>。这里有一个例子:
<cffunction name="saveData" access="public" returntype="void" output="false">
<cfargument name="formVar" type="string" required="true" />
<cfquery name="LOCAL.qSave" datasource="myDSN">
insert into myTable (col1)
values (<cfqueryparam cfsqltype="cf_sql_varchar" value="#ARGUMENTS.formVar#" />)
</cfquery>
</cffunction>
进入重要的习惯是始终使用<cfqueryparam>,即使是在氟氯化碳。
这里有一些更多的info on those edge-cases,你可能会发现它很难使用<cfqueryparam>。
希望有帮助!