Я задаю этот вопрос с некоторым смущением, потому что я должен знать ответ. Может ли кто-нибудь быть добрым и объяснить, может ли инъекция произойти в следующем коде и как?

    select * from tableName
    where fieldName = '#value#'

Мне особенно интересно узнать о попытках внедрения и других злонамеренных входных данных, а не о передовых методах или проверке входных данных для обработки ».нормальный" пользовательский ввод. Я вижу, что люди решительно выступают за использование CFQueryParam, но нея не вижу смысла Если пользовательский ввод был проверен на согласованность со схемой базы данных (например, чтобы входные данные были числовыми для числовых полей базы данных), есть ли что-нибудь еще полученное с использованием CFQueryParam? Что значит сделай это'#value#' Безразлично»делать?