CFWheels ORM и SQL Injection

Question

Я новичок в Coldfusion, и мой предыдущий фон находится на PHP с использованием codeIgniter. В настоящее время я использую CFWheels для проекта.

У меня есть ВСТАВИТЬ Заявление о

n_building = model("buildings").new(); 
n_building.name = name; 
n_building.save(); 

И прочитал заявление

room = model("rooms").findOne(where="name='#name#' AND b_id='#b_id#'"); 

СОБРАННОЙ лучшей практики или она может быть написана лучше с точки зрения безопасности.

Вопрос в том, что использование ORM автоматически защитит мои запросы от SQL Injection или любой другой формы инъекции или угрозы безопасности? Должен ли я использовать что-то еще с ним, если да, то как я могу изменить приведенные выше утверждения?

Answer 1

CfWheels по умолчанию использует cfqueryparam для всех, за исключением случаев, когда вы используете параметр параметризуете и устанавливаете его в false. Поэтому вам не нужно беспокоиться об инъекции Sql.

Читайте о параметризации параметра в findAll method description.

Ваш код может быть улучшен, как предложил Джон Виш, используя динамические искатели.

Answer 2

Насколько я знаю, cfwheels ORM будет параметризовать запросы, созданные ORM. В заявлении он введет <cfqueryparam>. Но вы можете включить отладку и легко просмотреть запрос, отправленный в базу данных.