0

我正在寻找一种工具,它将通过我的冷融合代码文件并在需要的地方添加 cfqueryparam。我发现很多会扫描并告诉我我需要在哪里进行更改,但我在http://www.webapper.com/blog/index.php/2008/7/22/ColdFusion-SQL-Injection找到了一个非常漂亮的接近我正在寻找的东西,但它没有添加 cfsqltype (或 maxlength)。我想知道这是否仍然可以防止没有 cfsqltype 的 sql 注入?如果需要(我知道它在技术上是可选的)你知道另一个工具可以做到这一点吗?我认为确保order by子句中的任何变量也被参数化是很重要的,这个工具不会检查。

我正在考虑屈从并更改http://www.webapper.com/blog/index.php/2008/7/22/ColdFusion-SQL-Injection的代码来完成这一切,但我认为这将是明智的先问。

4

1 回答 1

2

使用该工具或QPScanner扫描您的代码库并查找缺失cfqueryparm或缺失的查询cfprocparam

找到它们后,手动更新并测试每个实例

不要交叉手指,希望事情能自行解决。

我已经多次经历过这个过程我可以保证你应该花时间正确更新代码..

于 2016-05-01T01:52:22.623 回答