Oltre a cfqueryparam è possibile utilizzare cfparam nella parte superiore della pagina contenente il codice SQL per ogni variabile passata ad esso. Questo aiuta anche la documentazione.
ad es.
<cfparam name="url.id" type="integer">
o più avanzato:
<cfparam name="url.id" type="regex" pattern="\d" default="">
Poiché sono consentiti modello di espressione regolare, questi possono essere estremamente potente:
<cfparam name="form.place" type="regex" pattern="[A-Z0-9]{1,6}|" default="">
<!--- Upper case Alpa or Numeric, 1-6 characters or empty string --->
Assicurarsi inoltre di utilizzare un cferror
nell'applicazione . cfm o application.cfc per impedire l'esposizione della tabella delle query e nomi di colonne.
fonte
2014-03-18 23:05:54
@Joel Coehoorn: puoi fornire un esempio? Grazie! –