当查询允许您通过传入参数对列进行排序时,这是一个常见问题.以下是我尝试使用ColdFusion ORM的内容.我知道这样做会为sql注入添加一个安全循环漏洞.由于ORDER BY不能放置参数,我们必须将它追加到查询本身.我已经逃脱了一些易受攻击的角色,但我仍然不能说这是安全的(来自sql注入). ESAPI提供了函数encodeForsql(),但这不适用于sql Server(尽管它可以与MysqL一起使用).
我通常使用的另一种方法是,不是在参数中传递列名,而是传递一些数值并使用switch-case来匹配正确的列名…但这是维护的增加.
当我们不能使用命名参数时,有没有什么好的方法可以在sql(或HQL)中转义排序参数?
<cfscript>
var gridstruct = {};
var isPaging = 0;
var hql = "FROM tbl6 order by #arguments.sortcolumn#";
x = entitytoquery(ORMexecuteQuery(hql,false));
</cfscript>
解决方法
我可能只是根据适当的已知值列表验证传入的sortcolumn参数的值.抛开sqlI,你肯定不想对底层模式中的任何列进行排序吗?
例如:
if (!isValid("regex",arguments.sortcolumn,"list|of|valid|values|here")){
throw(type="IllegalArgumentException");
}
