所以我已經被傳遞到查詢在不同的文件構成的字符串作爲一個全局變量,我需要綁定(遺留代碼):故障使用cfqueryparam與SQL查詢字符串
<cfset queryString="((playerID=1223) OR playerID=1224))">
<cfquery name="testQuery">
SELECT *
FROM teamRoster
WHERE teamID = 9876
AND <cfqueryparam value="#queryString#" cfsqltype="CF_SQL_VARCHAR">
</cfquery>
有在這裏使用cfqueryparam查詢字符串的方法?或者有沒有一種不同的方法來保護自己免受SQL注入?謝謝你的幫助!
這應該解釋爲什麼這個想法在SQL語句和參數的上下文中沒有意義:http://blog.adamcameron.me/2012/07/what-one-can-and-cannot-do-with .html –