cfqueryparam вопросы/помощь

Question

Via this question Мне сказали начать использовать cfqueryparam для моих данных, чтобы предотвратить атаки SQL-инъекций.

Как его использовать для моих форм? Прямо сейчас я перебираю книгу Бена Форты, Том 1, и передаю данные в свою форму, а затем в процессор форм, который вызывает CFC. CFC принимает их как cfargument, а затем вводит это в базу данных с помощью проверки любого типа = «x».

Io использовать cfqueryparam, я использую это по самому запросу и даже не объявляю cfargument?

Answer 1

Вы все еще можете использовать CFC, но помните, что строковые данные, переданные как аргумент функции, все равно нуждаются в <cfqueryparam>. Вот пример:

<cffunction name="saveData" access="public" returntype="void" output="false"> 
<cfargument name="formVar" type="string" required="true" /> 

<cfquery name="LOCAL.qSave" datasource="myDSN"> 

    insert into myTable (col1) 
    values (<cfqueryparam cfsqltype="cf_sql_varchar" value="#ARGUMENTS.formVar#" />) 

</cfquery> 

</cffunction> 

важная привычка всегда использовать <cfqueryparam>, даже в ХФУ.

Вот еще info on those edge-cases, где вам может быть трудно использовать <cfqueryparam>.

Надеюсь, что это поможет!