ColdFusion Query - Защита от инъекций

Я задаю этот вопрос с некоторым смущением, потому что я должен знать ответ. Может ли кто-нибудь быть добрым и объяснить, может ли и как в следующем коде произойти внедрение?

<cfquery>
    select * from tableName
    where fieldName = '#value#'
</cfquery>

Мне особенно любопытны попытки внедрения и другие злонамеренные вводы, а не рекомендации или проверка ввода для обработки «нормального» ввода пользователя. Я вижу людей, решительно выступающих за использование CFQueryParam, но не думаю, что вижу суть. Если пользовательский ввод был проверен на согласованность со схемой базы данных (например, чтобы входные данные были числовыми для числовых полей базы данных), есть ли что-нибудь еще полученное с использованием CFQueryParam? Что значит<cfqueryparam CFSQLType = "CF_SQL_VARCHAR"> сделай это'#value#' не делает?

Ответы на вопрос(3)

Ваш ответ на вопрос