С хранимыми процедурами требуется cfSqlType?

Question

Чтобы защитить от внедрения sql, я прочитал во введении к ColdFusion, что мы должны использовать тег cfqueryparam.

Но при использовании хранимых процедур, я передаю мои переменные, соответствующие объявления переменных в SQL Server:

DROP PROC Usr.[Save] 
GO 
CREATE PROC Usr.[Save] 
(@UsrID Int 
,@UsrName varchar(max) 
) AS 
UPDATE Usr 
SET UsrName = @UsrName 
WHERE UsrID=@UsrID 
exec Usr.[get] @UsrID 

Q: Есть ли какое-либо значение в том числе cfSqlType, когда я звоню хранимую процедуру? Вот как я сейчас делаю это в Lucee:

storedproc procedure='Usr.[Save]' { 
    procparam value=Val(form.UsrID); 
    procparam value=form.UsrName; 
    procresult name='Usr'; 
} 

Answer 1

Этот вопрос пришел косвенно в другом потоке. Этот поток был посвящен параметрам запроса, но те же самые проблемы относятся к процедурам. Подводя итог, да, вы всегда должны вводить параметры запроса и proc. Перефразируя другой ответ:

Поскольку cfsqltype не является обязательным, его значение часто недооценивается:

• Validation: ColdFusion использует выбранный cfsqltype (дата, номер, и так далее) для проверки " стоимость". Это происходит до любой sql всегда отправляется в базу данных . Поэтому, если значение «value» недействительно, например «ABC» для типа cf_sql_integer, вы не теряете почтовый вызов базы данных на sql, который никогда не работал . Когда вы опускаете cfsqltype, все равно представлено в виде строки, и вы теряете дополнительную проверку.

• Точность: Using an incorrect type may cause CF to submit the wrong value to the database. Выбор правильного cfsqltype гарантирует, что вы отправили правильное значение - и - отправив его в недвусмысленном формате , база данных будет интерпретировать то, как вы ожидаете.

  Опять же, технически вы можете опустить cfsqltype. Однако, что означает, что CF отправит все в базу данных в виде строки. Следовательно, база данных будет выполнять implicit conversion (обычно нежелательно). При неявном преобразовании интерпретация строк оставлена ​​полностью до базы данных - и она может быть не всегда придумывать ответ, который вы ожидаете.

  Представление дат как строк, а не объектов даты, является основным примером . Как ваша база данных будет интерпретировать строку даты, например «05/04/2014»? Как 5 апреля или 4 мая? Смотря как. Измените базу данных или настройки базы данных, и результат может быть полностью .

Единственный способ обеспечить стабильные результаты, чтобы указать соответствующий cfsqltype. Он должен соответствовать типу данных целевого столбца/функции целевого (или, по крайней мере, эквивалентного типа).