我正在將我的coldfusion9查詢代碼從ms access 2003遷移到mySql。我的MySQL知識是有限的,所以這是一個初學者的問題:)遷移ms訪問mysql - 更改CF編碼(來自新手)
在我的MS Access代碼,我用簡單的cfqueries ......這裏有一個例子:
<cfquery name="catalog" datasource="mydatasource">
SELECT TableID, DateListed, FirstColor, SecondColor
FROM mytable
WHERE FirstColor='blue' OR SecondColor='blue'
ORDER BY DateListed DESC
</cfquery>
我從網上閱讀理解,一個需求使用cfqueryparam和mySql來防止注入惡意代碼。我不知道如何注入惡意代碼....因爲在線網站用戶不通過表單與我的數據庫進行交互,我是否還需要使用cfqueryparam?
如果是這樣,你能給我一個添加cfqueryparam到上面的代碼的方法的例子嗎? - 或者 - 爲編寫mySql代碼提供了一個很好的,簡單的how-to資源(在我的在線搜索中,大部分編碼信息都假設我擁有的知識水平較高)
儘管可能,數據庫驅動的Web應用程序並不與*任何*用戶提供的值進行交互 - 是非常不尋常的。任何與用戶提供的值(URL參數,表單域等等)交互的查詢都有風險。 – Leigh 2012-01-11 19:52:28
好的,我明白了。我從我的閱讀中假定,每個數據庫查詢都需要受到保護。 – Betsy 2012-01-14 17:12:56
不,只可以利用包含用戶提供的參數或信息的查詢。包含硬編碼字符串(如上所述)的查詢是安全的。 – Leigh 2012-01-16 18:05:44