当查询允许您通过传入参数对列进行排序时,这是一个常见问题.以下是我尝试使用ColdFusion ORM的内容.我知道这样做会为sql注入添加一个安全循环漏洞.由于ORDER BY不能放置参数,我们必须将它追加到查询本身.我已经逃脱了一些易受攻击的角色,但我仍然不能说这是安全的(来自sql注入). ESAPI提供了函数encodeForsql(),但这不适用于sql Server(尽管它可以与MysqL一起使用).
我通常使用的另一种方法是,不是在参数中传递列名,而是传递一些数值并使用switch-case来匹配正确的列名…但这是维护的增加.
当我们不能使用命名参数时,有没有什么好的方法可以在sql(或HQL)中转义排序参数?
<cfscript>
var gridstruct = {};
var isPaging = 0;
var hql = "FROM tbl6 order by #arguments.sortcolumn#";
x = entitytoquery(ORMexecuteQuery(hql,false));
</cfscript>
