4
防止coldfusion sql-injection訂單由於cfqueryparam不能按順序工作,會使用xmlformat stop sql注入嗎?如何通過條款
ORDER BY #xmlformat(myVariable)#
感謝,
Q
如何通過條款
A
回答
6
http://www.petefreitag.com/item/677.cfm
一個好辦法繞過這個限制是使用ListFindNoCase功能,限制排序的列名,例如:
<cfset sortable_column_list = "age,height,weight,first_name">
<cfquery ...>
SELECT first_name, age, height, weight
FROM people
ORDER BY <cfif ListFindNoCase(sortable_column_list, url.sort_column)>#url.sort_column#<cfelse>first_name</cfif>
</cfquery>
2
這是來自存儲過程,但將@ORDER_BY值轉換爲實際的數據庫列和@SORT _ORDER賦值給SQL命令。
ORDER BY
CASE WHEN @ORDER_BY = 'LENDER' AND @SORT_ORDER = 'D' THEN l.tms_name END DESC,
CASE WHEN @ORDER_BY = 'LENDER' AND @SORT_ORDER != 'D' THEN l.tms_name END,
CASE WHEN @ORDER_BY = 'LOAN_NUMBER' AND @SORT_ORDER = 'D' THEN p.Loan_Number END DESC,
CASE WHEN @ORDER_BY = 'LOAN_NUMBER' AND @SORT_ORDER != 'D' THEN p.Loan_Number END,
1
XML格式不能處理所有情況。
列檢查是好的,但我猜測讓用戶定義按順序排列順序的好處是因爲你可以使它比單個列更復雜。例如,你可以添加幾列和升序,降序等...
我建議你做一個全局可用的函數,去掉任何不是數字,字母或逗號的字符。如果有人確實嘗試執行SQL注入,它就會失敗。
-1
另一種選擇是ListFindNoCase方法的輕微扭曲。列信息可以存儲在一個結構中。 key將是公開顯示的列名稱,value是真正的列名稱。這有點複雜。但我喜歡這個事實,它不需要需要你公開你的模式。它也支持戴夫提到的更多複合語句。
<cfset sortCols = { defaultCol="DepartmentName"
, date="ReportDate"
, type="DepartmentName"
, num="EmployeeID" } />
....
SELECT Columns
FROM TableName
ORDER BY
<cfif structKeyExists(sortCols, url.sort_column)>
#sortCols[url.sort_column]#
<cfelse>
#sortCols["defaultCol"]#
</cfif>
+0
匿名投票,謹慎發表評論? – Leigh
0
<cfif refindnocas('^\w+ ?(desc|asc)?$', myVariable)>
ORDER BY #myVariable#
</cfif>
或
<cfset columnList = 'col1,col2,etc' /> <!--- might want to use in select as well --->
<cfset regexColList = replace(columnList, ',', '|', 'all') />
<cfif not refindnocas('^(#regexColList#) ?(desc|asc)?$', myVariable)>
<cfset myVariable = "DefaultSort" />
</cfif>
ORDER BY #myVariable#
或
ORDER BY #query_sort(myVariable, columnList, defaultSort)#
...
<cffunction name="query_sort">
<cfargument name="sort" />
<cfargument name="columns" />
<cfargument name"default" />
<cfset var regexcolumns = replace(columns, ',', '|', 'all') />
<cfif refindnocas('^(#regexcolumns#) ?(desc|asc)?$', sort)>
<cfreturn sort />
<cfelse>
<cfreturn default />
</cfif>
</cfargument>
等
相關問題
- 1. 如何通過條款
- 2. 我如何通過條款
- 3. 如何通過條款
- 4. 如何通過條款使用DataPageRequest
- 5. 通過其中LINQ條款
- 6. 如何通過條款上寫上階條件
- 7. R和GO.db:通過所有GO條款
- 8. 如何通過超過100款
- 9. Wordpress通過稅務條款獲得帖子 - 稅務條款是頁面slug
- 10. 我怎麼能通過整數變量裏面的條款裏的條款querybuilder
- 11. Android:我如何通過付款細節?
- 12. 如何通過PayPal IPN拒絕付款?
- 13. 如何通過API取消PayPal付款
- 14. 通過網址獲取條款和條件的內容?
- 15. 如何立即付款加上通過PayPal定期付款?
- 16. 如何通過付款處理器處理退款或折扣?
- 17. 如果通過引用它們的URI重用條款
- 18. mysql的過程 - 在條款
- 19. 如何在`where`條款
- 20. 如何在mysql'where'條款
- 21. 如何刪除條款
- 22. 如何通過條件
- 23. 如何通過動作條
- 24. 無法通過Paypal付款
- 25. 條款
- 26. 條款
- 27. PayPal:您如何通過權限API獲取付款通知?
- 28. 條紋API PHP。通過subscription_id獲取訂閱的所有付款
- 29. 從文件,並把值僅在通過shell腳本條款
- 30. 通過Facebook排序條款喜歡和推文tweets
很不錯的答案!謝謝, –