Sono in esecuzione Coldfusion 8 e SQL Server 2008.
Ho creato moduli server che inseriscono dati nel database da utenti esterni, abbiamo un modulo di sicurezza costruito appositamente dal ragazzo che ho svolto il suo lavoro.
1) Come possiamo testare i nostri moduli HTML per assicurarci di essere protetti dagli attacchi di SQL injection?
2) Come posso proteggere CFquery in CFC?
3) Quali sono le migliori pratiche in termini di SQL e amp; Coldfusion per sicurezza?
- Molto lo so!
Questo articolo di Adobe illustra la maggior parte dei problemi che dovrai affrontare.
La migliore protezione contro l'iniezione SQL è quella di utilizzare una query parametrica, ovvero una query che è completa e può essere compilata dal motore SQL, ma allegando i dati dopo il fatto. Non uso Coldfusion da molti anni, ma sembra che non supporti le query parametriche: l'articolo che ho elencato elenca alcune soluzioni al problema.
Riassumendo le risposte, CFQUERYPARAM è tuo amico. Risolverà automaticamente tutti i parametri e velocizzerà le interrogazioni contemporaneamente.
Leggi altre domande sui tag sql security sql-injection coldfusion