Sådan forhindrer SQL Injection på ColdFusion

February 16

Hackere bruger SQL injektion til at køre skadelig kode på en databaseserver, så de kan få adgang til databaseposter. Hackeren har derefter mulighed for at stjæle eller ødelægge data. Cold Fusion bekæmper dette hack, ved hjælp af cfqueryparam tag. Dette tag passerer alle skadelig kode som en bogstavelig, så databasen bruger koden som en del af forespørgslen. Af denne grund hacker kan ikke stjæle eller ødelægge data.

Instruktioner

1 Højreklik på Cold Fusion kildekoden fil, du vil redigere, og vælg "Åbn med." Klik på din Cold Fusion editor til at åbne koden i editoren.

2 Opsæt din første forespørgsel med Cold Fusion "cfquery" tag. For eksempel følgende kode forespørger alle kunder fra en database kilde med navnet "mydb":

<Cfquery name = "queryCustomers" datakilde = "mydb">
vælge * fra kunder
</ Cfquery>

3 Tilføj parametrene. Brug af "cfqueryparam" tags, fjerne dig mulighed for SQL-injektion. Følgende kode finder alle kunder med en sidste navn "Smith":

<Cfquery name = "queryCustomers" datakilde = "mydb">
vælge * fra kunder
hvor fname = <cfqueryparam cfsqltype = "cf_sql_varchar" value = "# FORM.fname #">
</ Cfquery>


relaterede artikler