我想防止 SQL 注入攻击。我们有一个表单,要求输入用户的 AD 用户名和密码。那么我们的处理代码如下所示:
<cfldap name="ldap_result" action="query" server="999.999.999.999"
attributes="userprincipalname,title,samaccountname,sn,name,mail,cn"
filter="(&(objectclass=user)(sAMAccountName=#form.username#))"
start="dc=us,dc=company,dc=lan"
scope="subtree"
username="US\#form.username#"
password="#form.password#">
我永远不会在没有 cfqueryparam 的情况下运行带有用户输入的查询(以包装用户名和密码输入),但是类似的东西甚至可用于 cfldap 吗?(如果这有所作为,我们将使用 CF10。)
更新:
为了澄清,当我尝试这个时,我收到以下错误:
标记 CFLDAP 的属性验证错误。它不允许属性 CFSQLTYPE、VALUE。