経由でthis question私は、SQLインジェクション攻撃を防ぐために、自分のデータにcfqueryparamを使用するように言われました。cfqueryparam questions/help
フォームにはどのように使用しますか?今、私はBen Fortaの本Vol 1を読んで、フォームにデータを渡してから、CFCを呼び出すフォームプロセッサに渡しています。 CFCはcfargumentを入力し、それをタイプ= "x"の検証でデータベースに挿入します。
私はcfqueryparamを使用しています。私はそれをクエリ自体に使用し、cfargumentも宣言していませんか?
まだCFCを使用できますが、関数の引数として渡される文字列データにはまだ<cfqueryparam>が必要です。次に例を示します。
<cffunction name="saveData" access="public" returntype="void" output="false">
<cfargument name="formVar" type="string" required="true" />
<cfquery name="LOCAL.qSave" datasource="myDSN">
insert into myTable (col1)
values (<cfqueryparam cfsqltype="cf_sql_varchar" value="#ARGUMENTS.formVar#" />)
</cfquery>
</cffunction>
に入るために重要な習慣があっても常にフロンで、<cfqueryparam>を使用することです。
info on those edge-casesここでは、<cfqueryparam>を使用するのが難しい場合があります。
希望に役立ちます!