Я хочу предотвратить атаки SQL-инъекций. У нас есть форма, которая запрашивает имя пользователя и пароль AD пользователя. Тогда наш код обработки выглядит примерно так:
<cfldap name="ldap_result" action="query" server="999.999.999.999"
attributes="userprincipalname,title,samaccountname,sn,name,mail,cn"
filter="(&(objectclass=user)(sAMAccountName=#form.username#))"
start="dc=us,dc=company,dc=lan"
scope="subtree"
username="US\#form.username#"
password="#form.password#">
Я бы никогда не выполнил запрос с пользовательским вводом без cfqueryparam (чтобы обернуть ввод имени пользователя и пароля), но доступно ли что-то подобное даже для cfldap? (Мы на CF10, если это имеет значение.)
ОБНОВЛЕНИЕ:
Чтобы уточнить, когда я попробовал это, я получил следующую ошибку:
Ошибка проверки атрибута для тега CFLDAP. Не допускается использование атрибута(ов) CFSQLTYPE,VALUE.