Zadaję to pytanie z nieco zakłopotaniem, ponieważ powinienem znać odpowiedź. Czy ktoś mógłby być uprzejmy i wyjaśnić, czy i jak może nastąpić zastrzyk w następującym kodzie?

<cfquery>
    select * from tableName
    where fieldName = '#value#'
</cfquery>

Jestem szczególnie ciekawy prób wtrysku i innych szkodliwych danych wejściowych, a nie sprawdzonych metod sprawdzania danych wejściowych. Widzę, że ludzie zdecydowanie opowiadają się za wykorzystaniem CFQueryParam, ale nie sądzę, że widzę sens. Jeśli dane wejściowe użytkownika zostały sprawdzone pod kątem spójności ze schematem bazy danych (np. Aby dane wejściowe musiały być numeryczne dla pól liczbowych baz danych), czy jest coś jeszcze zdobytego przy użyciu CFQueryParam? Co robi<cfqueryparam CFSQLType = "CF_SQL_VARCHAR"> Zrób to'#value#' nie robi?