この質問を通じて、SQL インジェクション攻撃を防ぐために、データに cfqueryparam を使い始めるように言われました。
フォームにどのように使用しますか? 現在、Ben Forta の本 Vol.1 を読んでいて、データをフォームに渡し、次に CFC を呼び出すフォーム プロセッサに渡しています。CFC はそれらを として取り込みcfargument、type="x" 検証を使用してそれをデータベースに挿入します。
を使用cfqueryparamします。クエリ自体でそれを使用し、宣言さえしcfargumentませんか?
CFC は引き続き使用できますが、関数の引数として渡される文字列データには<cfqueryparam>. 次に例を示します。
<cffunction name="saveData" access="public" returntype="void" output="false">
<cfargument name="formVar" type="string" required="true" />
<cfquery name="LOCAL.qSave" datasource="myDSN">
insert into myTable (col1)
values (<cfqueryparam cfsqltype="cf_sql_varchar" value="#ARGUMENTS.formVar#" />)
</cfquery>
</cffunction>
身につけるべき重要な習慣は<cfqueryparam>、CFC であっても常に を使用することです。
使用するのが難しいと思われるエッジケースに関する詳細情報を次に示します<cfqueryparam>。
それが役立つことを願っています!