Eu faço esta pergunta com um pouco de timidez porque eu deveria saber a resposta. Alguém poderia ser gentil e explicar se e como a injeção poderia ocorrer no código a seguir?

<cfquery>
    select * from tableName
    where fieldName = '#value#'
</cfquery>

Estou especialmente curioso sobre as tentativas de injeção e outras entradas maliciosas, não sobre as melhores práticas ou validação de entrada para manipular a entrada do usuário "normal". Eu vejo pessoas defendendo fortemente o uso de CFQueryParam, mas não acho que eu vejo o ponto. Se a entrada do usuário tiver sido validada para consistência com o esquema do banco de dados (por exemplo, para que a entrada deva ser numérica para os campos do banco de dados numérico), há algo mais obtido usando CFQueryParam? O que<cfqueryparam CFSQLType = "CF_SQL_VARCHAR"> faça isso'#value#' não faz?