Bobby Tables: Ein Leitfaden gegen SQL-Einschleusung

ColdFusion

In ColdFusion gibt es eine Funktion cfqueryparam, die immer benutzt werden sollte, um eingebettete Abfragen zu schreiben.

<cfquery name="queryTest">
SELECT FirstName, LastName, Phone
FROM   tblUser
WHERE  Status =
  <cfqueryparam cfsqltype="CF_SQL_VARCHAR" value="#form.status#">
</cfquery>

Wenn man gespeicherte Prozeduren in der Datenbank hat, kann man sie mit den Funktionen cfstoredproc und cfprocparam aufrufen.

Neuere Versionen von ColdFusion haben Funktionen, um Abfragen mit einer leicht veränderten Syntax durchzuführen, die aber dennoch parameterisierte Abfragen haben.

<cfscript>
  var myQuery = new Query(sql="
    SELECT FirstName, LastName, Phone
    FROM   tblUser
    WHERE  Status = :status
  ");
  myQuery.addParam(
    name      = "status",
    value     = form.status,
    cfsqltype = "cf_sql_varchar"
  );
  var rawQuery = myQuery.execute().getResult();
</cfscript>

Deutsch / Русский язык / English

Die Inhalte dieser Website stehen unter der Creative-Commons-Lizenz mit Namensnennung und Weitergabe unter gleichen Bedingungen, Version 3.0..