如何以编程方式清理 ColdFusion cfquery 参数？

Question

我继承了一个大型旧版 ColdFusion 应用程序。 这里有数百个一些sql#variable#需要按照以下方式参数化的语句：这里有一些 sql

如何以编程方式添加参数化？

我曾考虑过编写一些正则表达式或 sed/awk'y 之类的解决方案，但似乎有人在某个地方解决了这样的问题。 自动推断 sql 类型可获得奖励积分。

Answer 1

请记住，您可能无法使用解决所有问题。

我见过许多示例，其中按字段名称排序在查询字符串中传递，这是一个需要解决的稍微棘手的问题，因为您需要以更“手动”的方式验证它。

Answer 2

这里引用了一个脚本：http://www. webapper.net/index.cfm/2008/7/22/ColdFusion-SQL-Injection 将为您完成大部分繁重的工作。 您所要做的就是检查查询并确保语法能够正确解析。

没有理由不使用 CFQueryParam，除了它更加安全之外，它还可以提高性能，并且是处理基于字符的列类型中带引号的值的最佳方法。

Answer 3

<cf_inputFilter
            scopes = "FORM,COOKIE,URL"
            chars = "<,>,!,&,|,%,=,(,),',{,}"
            tags="script,embed,applet,object,HTML">

我们用它来抵御最近的 SQL 注入攻击。 我们将其添加到我们站点的 Application.cfm 文件中。

Answer 4

我怀疑是否有一个解决方案能够完全满足您的需求。 我看到的唯一选择是编写自己的递归搜索来为您构建报告，或者使用人们上面列出的应用程序/脚本之一。 基本上，您将必须编辑每个页面或批准所有自动更改。

Answer 5

RIAForge 上有一个查询参数扫描器可以为您找到它们：http://qpscanner.riaforge.org/