cfqueryparam问题/帮助

Question

通过this question，我被告知要开始对我的数据使用cfqueryparam，以防止SQL注入攻击。

如何将其用于我的表单？现在，我一直在阅读Ben Forta的书，第一卷，并将数据传递给我的表单，然后传递给一个调用CFC的表单处理器。CFC将它们作为cfargument接收，然后使用任何type="x“验证将其注入数据库。

为了使用cfqueryparam，我在查询本身上使用它，甚至没有声明cfargument

Answer 1

您仍然可以使用CFC，但请记住，作为函数参数传递的字符串数据仍然需要<cfqueryparam>。下面是一个示例：

<cffunction name="saveData" access="public" returntype="void" output="false"> 
 <cfargument name="formVar" type="string" required="true" />

 <cfquery name="LOCAL.qSave" datasource="myDSN">

  insert into myTable (col1)
  values (<cfqueryparam cfsqltype="cf_sql_varchar" value="#ARGUMENTS.formVar#" />)

 </cfquery>

</cffunction>

要养成的重要习惯是始终使用<cfqueryparam>，即使是在CFCs中也是如此。

下面是一些你可能会发现很难使用<cfqueryparam>的info on those edge-cases。

希望这能有所帮助！