Estoy usando ColdFusion 9 y jQuery.¿Los ColdFusion CFC son muy seguros cuando el acceso es remoto?
Soy nuevo en el uso de CFC ColdFusion a través de CFAJAXPROXY. Tengo curiosidad acerca de si mi base de datos está en riesgo y cómo podría parchar fácilmente los agujeros de seguridad.
Pongo esto en la parte superior de la página:
<cfajaxproxy cfc="brands" jsclassname="jsApp">
Aquí es un CFC que se utiliza después de unos troncos en:
<!--- ADD BRAND --->
<cffunction name="addBrand" access="remote">
<cfargument name="SiteID" required="true">
<cfargument name="Brand" required="true">
<cfscript>
LOCAL.SiteID = ARGUMENTS.SiteID;
LOCAL.Brand = trim(left(ARGUMENTS.Brand, 50));
</cfscript>
<cfquery name="GetBrands">
INSERT INTO Brands(SiteID, Brand)
VALUES (<cfqueryparam cfsqltype="cf_sql_integer" value="#LOCAL.SiteID#">,
<cfqueryparam cfsqltype="cf_sql_varchar" value="#LOCAL.Brand#">)
</cfquery>
<cfreturn true>
</cffunction>
Aquí está la jQuery que publicar los datos a la CFC
$("#AddBrand").click(function() {
NewBrand = $("#NewBrand").attr("value");
var jro = new jsApp();
jro.addBrand(NewBrand);
});
Entonces, ¿hay un gran agujero de seguridad aquí? ¿Debería access = "remote" usarse solo para recuperar datos?
en lugar de dos líneas de cfscript, ¿qué tal ''? :) –
Henry