在ColdFusion中使用類似運算符的cfqueryparam



Answers

select a,b,c
from  Foo
where name like  <cfqueryparam cfsqltype="cf_sql_varchar" value="%Bob%" />;
Question

我一直負責瀏覽一些最近成為SQL注入攻擊主題的ColdFusion站點。 基本上我的工作涉及到添加<cfqueryparam >標籤到所有的內聯SQL。 大多數情況下,我已經知道了,但有誰可以告訴我如何使用LIKE運算符的cfqueryparam?

如果我的查詢看起來像這樣:

select * from Foo where name like '%Bob%'

我的<cfqueryparam >標籤應該是什麼樣子?




Related