Voce quer definir um datasource padrão para todas as queries em vez
de especificar o atributo "datasource" em todas as chamadas da tag <cfquery>.
O ColdFusion 9 introduziu a possibilidade de se criar um datasource padrão para uma aplicação inteira.
Neste post resolvi disponibilizar algo para ajudar ainda mais as ações de segurança nas aplicações com relação ao ponto de entrada de dados. Dentro do CF, a combinação das tags CFQUERY e CFQUERYPARAM ajudam e muito a evitar ataques do tipo SQL Injection, porém elas sozinha minimizam a possibilidade e não neutralizam.
Para isso criei um conjunto de três funcções para detectar se no texto existe ou não intenções de injection. A utilização é bem simples, basta chamar a função hasAtack() antes de executar seu sql. O funcionamento é uma combinação da busca em cima dos scoopos CGI, Url, Form, Cookie e Arguments localizando palavras típicas de ação de injection. Recomendo colocar essa funcionalidade no seu Application.cfc ou cfm para poder chamade de qualquer página o teste.
Normalmente desenvolvemos nossos sistemas em um servidor de desenvolvimento (dev server), e após todos os testes, temos que enviar os códigos para o servidor de produção. Essa tarefa pode ser feita via FTP ou através de drives compartilhados na rede, para nosso código ColdFusion. Mas para as stored procedures, temos que gerar os scripts e rodá-los no servidor de produção.
Comentários Recentes