我继承了一个大型的传统ColdFusion应用程序.这里有数百个
如何以编程方式添加参数化?
我曾考虑过编写一些正则表达式或sed/awk'y类型的解决方案,但似乎有人在某个地方解决了这个问题.为自动推断sql类型而获得的奖励积分.
有一个queryparam扫描程序,可以在RIAForge上找到它们:http://qpscanner.riaforge.org/
这里引用了一个脚本:http://www.webapper.net/index.cfm/2008/7/22/ColdFusion-SQL-Injection ,它将为您完成大部分繁重的工作.您所要做的就是检查查询并确保语法正确解析.
没有理由不使用CFQueryParam,除了它更安全,它是一个性能提升和处理基于字符的列类型中的引用值的最佳方法.
京公网安备 11010802040832号 | 京ICP备19059560号-6 