Q

當用於排序列時，CFSWITCH可以防止SQL注入嗎？

2010-12-18 34 views 2 likes

2

我用下面的技術，以確保任何排序列PARAMS來自客戶端經過ListFindNoCase（）函數：當用於排序列時，CFSWITCH可以防止SQL注入嗎？

<cfif ListFindNoCase("date,score", params.order) EQ 0> 
    <cfset params.order = "date"> 
</cfif>

這樣，任何一個排序列請求被審覈對列表值被送到前服務器。那麼我下面的代碼添加到我的功能：

<cfswitch expression="#params.order#"> 
    <cfcase value="date"> 
     <cfset params.order = "date DESC"> 
    </cfcase> 
    <cfcase value="score"> 
     <cfset params.order = "score ASC"> 
    </cfcase> 
    <cfdefaultcase> 
     <cfset params.order = "date DESC"> 
    </cfdefaultcase> 
</cfswitch>

由於默認情況下將始終設置爲「日期DESC」如果表達式沒有前兩種情況相符，不用於呈現ListCaseNoFind（）冗餘？

我想確保在我刪除ListFindNoCase（）函數之前這是真的！

2010-12-18 Mohamad

A

回答

5

當然，這是安全的。您正在對命令進行硬編碼，因此不可能注入無關的SQL。

2010-12-18 17:55:53

+1

這也被認爲是「白名單」，這是安全的。 – 2010-12-18 18:26:55

相關問題

1. TryParse防止SQL注入嗎？
2. SQL注入：哪些語句可以防止較好SQL注入
3. mysql_real_escape_string可以防止各種sql注入嗎？
4. 這個函數可以防止sql注入和xss嗎？
5. 防止SQL注入
6. 防止SQL注入
7. 防止sql注入
8. SQL防止SQL注入
9. str_replace的這種用法足以防止SQL注入攻擊嗎？
10. 防止插入SQL注入

11. 逃逸cookie值以防止SQL注入
12. C＃和SQL參數，以防止注入
13. 修改代碼以防止SQL注入的SQL注入
14. SQL注入可以防止只用addslashes（字符串）？
15. 防止SQL注入 - PHP程序
16. php mysqli或pdo包裝類有助於防止sql注入嗎？
17. 防止SQL注入ASP .NET
18. 防止SQL注入的PHP
19. Delphi - 防止SQL注入
20. PHP防止SQL注入/ XSS
21. 如何防止SQL注入？
22. pdo防止sql注入
23. 2012年防止SQL注入
24. 防止SQL注入與PHP
25. 試圖防止sql注入
26. 防止SQL注入查詢
27. 防止SQL注入在asp.net
28. 防止SQL注入在ZF
29. 防止在Oracle SQL注入「排序依據」部分
30. React Native的Realm是否可以防止注入攻擊？我已經用於SQL