SQL注入攻击，我如何测试和安全coldfusion查询？

Question

我正在运行Coldfusion 8和SQL server 2008。

我一直在构建服务器表单，将数据从外部用户插入到数据库中，我们有一个定制的安全模块，由我接手他的工作的人构建。

1)如何测试HTML表单以确保免受SQL注入攻击？

2)如何在CFC中保护CFqueries？

3)在安全方面，在SQL & Coldfusion方面有哪些最佳实践？

-我知道的很多！

Answer 1

这篇文章来自Adobe讨论了您需要处理的大多数问题。

防止SQL注入的最佳保护措施是使用参数查询--也就是说，查询是完整的，可以由SQL引擎编译，但您可以在事实之后将数据附加到该查询。我已经很多年没有使用Coldfusion了，但是它似乎不支持参数查询--我链接的这篇文章列出了解决这个问题的一些解决方案。

Answer 2

总结答案，CFQUERYPARAM是你的朋友。它将自动转义所有参数，同时加快查询速度。