Gli hacker utilizzano SQL injection per eseguire codice dannoso in un server di database, quindi possono accedere ai record del database. L'hacker ha quindi la possibilità di rubare o distruggere i dati. Fusione fredda combatte questo hack, utilizzando il tag cfqueryparam. Questo tag passa tutto il codice dannoso come un valore letterale, in modo che il database utilizza il codice come parte della query. Per questo motivo l'hacker è in grado di rubare o distruggere i dati.

Istruzioni

1

Pulsante destro del mouse il file di codice sorgente di Cold Fusion che si desidera modificare e selezionare "Apri con". Fare clic su editor di Cold Fusion per aprire il codice nell'editor.

2

Impostare la query iniziale con l'etichetta di "cfquery" fusione fredda. Per esempio, il codice seguente interroga tutti i clienti da un'origine di database denominato "mydb":

< nome cfquery = "queryCustomers" datasource "mydb" = >
Selezionare * da parte dei clienti
< / cfquery >

3

Aggiungere i parametri. Utilizzando il tag "cfqueryparam", eliminare la possibilità di SQL injection. Il codice seguente consente di trovare tutti i clienti con un cognome di "Smith":

< nome cfquery = "queryCustomers" datasource "mydb" = >
Selezionare * da parte dei clienti
dove fname = < cfqueryparam cfsqltype = "cf_sql_varchar" value="#FORM.fname#" >
< / cfquery >