当查询允许您通过传入参数对列进行排序时,这是一个常见问题.以下是我尝试使用ColdFusion ORM的内容.我知道这样做会为sql注入添加一个安全循环漏洞.由于ORDER BY不能放置参数,我们必须将它追加到查询本身.我已经逃脱了一些易受攻击的角色,但我仍然不能说这是安全的(来自sql注入). ESAPI提供了函数encodeForsql(),但这不适用于sql Server(尽管它可以与MysqL一起使用).
我通常使用的另一种方法是,不是在参数中传递列名,而是传递一些数值并使用switch-case来匹配正确的列名…但这是维护的增加.
当我们不能使用命名参数时,有没有什么好的方法可以在sql(或HQL)中转义排序参数?
<cfscript> var gridstruct = {}; var isPaging = 0; var hql = "FROM tbl6 order by #arguments.sortcolumn#"; x = entitytoquery(ORMexecuteQuery(hql,false)); </cfscript>
解决方法
原文地址:https://www.jb51.cc/mssql/78715.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。