这是SQL注入攻击的一个例子吗?

时间:2012-03-12 13:37:45

标签: sql coldfusion sql-injection

我为客户开发了一个网站,他们将在线发布商品图片。网址为www.domiainname.com/item-details.cfm?sku=125。有人试图浏览www.domiainname.com/item-details.cfm?sku=125%20and%203=3产生的错误和我收到通知的错误。

我还收到了错误报告:

item-details.cfm?sku=1291+or+1=@@version-- 
item-details.cfm?sku=1291'+or+1=@@version 
item-details.cfm?sku=1291+or+1=@@version

最后三个例子肯定是有人试图进入系统,对吗?

如果我们将此转换为存储过程,是否会降低或消除插入攻击的风险?

3 个答案:

答案 0 :(得分:8)

是的,似乎有人是恶意的。

使用cfqueryparam可以防止SQL注入攻击。如果有疑问(并且是CF),请问Ben:

SQL Injection Attacks, Easy To Prevent, But Apparently Still Ignored

示例:

<cfquery ...>
    SELECT    *
    FROM      Products
    WHERE     SKU=<cfqueryparam value="#URL.SKU#" cfsqltype="CF_SQL_INTEGER">
</cfquery>

答案 1 :(得分:2)

使用cfqueryparam并忘记任何sql-injection;)

答案 2 :(得分:0)

是的,有人尝试过SQL注入。如果您在代码中正确检查sku变量,则不会造成任何伤害。