Ich stelle diese Frage etwas verlegen, weil ich die Antwort wissen sollte. Könnte jemand freundlich sein und erklären, ob und wie die Injektion im folgenden Code erfolgen könnte?

<cfquery>
    select * from tableName
    where fieldName = '#value#'
</cfquery>

Ich bin besonders neugierig auf Injektionsversuche und andere böswillige Eingaben, nicht auf Best Practices oder Eingabevalidierung für die Verarbeitung "normaler" Benutzereingaben. Ich sehe Leute, die die Verwendung von CFQueryParam nachdrücklich befürworten, aber glaube nicht, dass ich den Sinn sehe. Wenn die Benutzereingabe auf Konsistenz mit dem Datenbankschema überprüft wurde (z. B., damit die Eingabe für numerische Datenbankfelder numerisch sein muss), kann mit CFQueryParam noch etwas erreicht werden? Was macht<cfqueryparam CFSQLType = "CF_SQL_VARCHAR"> TU das'#value#' nicht?