我在 Coldfusion/SQL Server 共享服务器托管服务上有一个帐户,并且我认为是 SQL 注入攻击的目标。我在每个表的几乎每个字段中都有一个 javascript 文件的绝对路径。该脚本似乎隐藏了它所在的每个页面上的大部分文本和功能。我很幸运能够将数据库恢复到合理的程度,但我需要防止这种情况再次发生。除了<cfqueryparam></cfqueryparam>,我还能做些什么吗?
【问题讨论】:
推荐的解决方案是检查您的所有代码,并确保您没有通过字符串连接来构建您的 sql 语句。相反,使用参数化查询并清理用户输入。推荐用于您使用的任何类型的数据库。
编辑 - 按要求提供 C# 示例:
string sql = "insert into table_a (cola,colb,colc) values (@value_a,@value_v,@value_c)";
using(SqlConnection conn = new SqlConnection("ConnectionString"))
{
conn.Open();
SqlCommand command = new SqlCommand(sql,conn);
command.CommandType = Commandtype.Text;
command.Parameters.AddWithValue("@value_a",txtFieldAFromForm.Text);
command.Parameters.AddWithValue("@value_b",txtFieldBFromForm.Text);
command.Parameters.AddWithValue("@value_c",txtFieldCFromForm.Text);
command.ExecuteNonQuery();
}
【讨论】:
<cfqueryparam> 完成的(参见此处:alocurto.com/blog4.php/ColdFusion/sql-injection-in-cold-fusion)。我可以提供一个使用参数的内联 SQL 语句的 C# 示例,但我不知道您是否使用 C# 编写代码,或者您会发现它很有用。告诉我。
<cfqueryparam> 足以防止 SQL 注入,因此您要么没有检查所有代码,要么 ColdFusion 具有主要安全性洞。接下来我将发布我的 C# 示例。
结帐<cfqueryparams> 标签:http://www.adobe.com/livedocs/coldfusion/7/htmldocs/wwhelp/wwhimpl/common/html/wwhelp.htm?context=ColdFusion_Documentation&file=part_cfm.htm
这是清理用户提交的 SQL 查询输入的方法。
【讨论】: