Hago esta pregunta con un poco de vergüenza porque debería saber la respuesta. ¿Podría alguien ser amable y explicar si y cómo podría ocurrir una inyección en el siguiente código?

<cfquery>
    select * from tableName
    where fieldName = '#value#'
</cfquery>

Tengo curiosidad específica por los intentos de inyección y otros comentarios maliciosos, no sobre las mejores prácticas o la validación de datos para manejar los comentarios "normales" de los usuarios. Veo gente que aboga fuertemente por el uso de CFQueryParam, pero no creo que yo vea el punto. Si la entrada del usuario se ha validado para que sea coherente con el esquema de la base de datos (por ejemplo, para que la entrada sea numérica para los campos de la base de datos numérica), ¿se obtiene algo más al usar CFQueryParam? Que hace<cfqueryparam CFSQLType = "CF_SQL_VARCHAR"> Haz eso'#value#' no hace?