Los hackers utilizan SQL inyección para ejecutar código malicioso en el servidor de base de datos, para que puedan tener acceso a los registros de base de datos. El hacker tiene entonces la opción de robar o destruir datos. Combates ColdFusion este hack, usando la etiqueta cfqueryparam. Esta etiqueta pasa todo el código malicioso como un literal, por lo que la base de datos utiliza el código como parte de la consulta. Por esta razón, el hacker es capaz de robar o destruir datos.
Evitar la inyección
Haga clic derecho en el archivo de código fuente de la fusión fría que desea editar y seleccione Abrir con. Haga clic con el editor de la fusión fría para abrir el código en el editor.
Configure su consulta inicial con el tag cfquery Cold Fusion. Por ejemplo, el código siguiente, se consulta a todos los clientes de una fuente de base de datos denominada mydb:
Nombre cfquery = queryCustomers datasource = mydb select * from clientes / cfquery
Añadir los parámetros. Uso de las etiquetas cfqueryparam, se elimina la posibilidad de inyección SQL. El código siguiente busca todos los clientes con un apellido de Smith:
Nombre cfquery = queryCustomers datasource = mydb select * from clientes donde fname = cfqueryparam cfsqltype = cf_sql_varchar valor = # # FORM.fname / cfquery
No hay comentarios:
Publicar un comentario