0

テーブルの名前がプロジェクトごとに変更される可能性のあるサブシステムを作成しています。

サブシステムを使用する前に、サブシステムのユーザーに検索と置換を依頼する代わりに、これは機能しますか?

<cfquery name="local.foo" datasource="#dsn#">
  SELECT col1, col2, col3
  FROM #tableName#
</cfquery>

がない<cfqueryparam>と、キャッシュできなくなりますか?または他の問題?(SQLインジェクションは問題ではないと仮定します)

<cfqueryparam>テーブル名には使えないと思いますよね?

ありがとう。

4

1 に答える 1

3

確かにうまくいくでしょう。CFは、すべての変数をそれらの値に変換し、文字列をデータベースドライバーに送信するだけです。

ただし、非常に注意してください。あなたが暗示しているように、これはあなたにいくつかの厄介なSQLインジェクションを設定する可能性があります。

于 2009-08-21T12:22:45.643 に答える