我正在寻找一个工具,它将通过我的coldfusion代码文件并在需要的地方添加cfqueryparam。我发现很多会扫描并告诉我需要进行更改的地方,但是我在http://www.webapper.com/blog/index.php/2008/7/22/ColdFusion-SQL-Injection找到了一个非常接近我想要的,但是它没有添加cfsqltype(或maxlength)。我想知道这是否仍然阻止没有cfsqltype的SQL注入?如果需要(我知道它在技术上是可选的)你知道另一个工具会这样做吗?我认为确保order by子句中的任何变量也参数化非常重要,此工具不会检查这些变量。
我正在考虑将http://www.webapper.com/blog/index.php/2008/7/22/ColdFusion-SQL-Injection中的代码改为完成所有这些,但我认为先问一下是明智的。
答案 0 :(得分:2)
使用该工具或QPScanner扫描您的代码库,查找缺少cfqueryparm或缺少cfprocparam的查询。
找到后, 手动更新并测试每个实例 。
不要交叉手指,希望事情能够自行解决。
我已经完成了这个过程a number of times,我可以保证你应该花时间正确更新代码..