일반적으로 응용 프로그램에서 정수 ID를 사용하지만,이 한 조각의 dev에 대해서는 텍스트 필드 (태그 이름)를 조회합니다.이 Coldfusion 쿼리 SQL 주입 증명입니까?
저는 cfqueryparam을 사용하지만 텍스트 필드라고 생각하면 SQL 주입 공격에 취약 할 수 있으며 그렇다면 다른 사람들이 SQL 명령 문자열을 지루하게 검색하는 것 이외의 다른 방법을 생각해보십시오.
SELECT tagId -- etc etc
FROM tag
WHERE tagName = <cfqueryparam cfsqltype="cf_sql_varchar" maxlength="50" value="#arguments.tagName#" />
감사
실제로 대부분의 경우 ColdFusion과 PHP 문자열을 사용하면 두 시스템 모두 "마법 인용 부호"를 사용하기 때문에 정수보다 주입하는 것이 어렵습니다. 그러나 마술 따옴표로 삽입하는 것이 불가능하지 않으므로 다른 사람들이 이미 말했듯이 cfqueryparam을 사용해야합니다. –