Security ColdFusion安全

保护coldfusion网页免受恶意用户攻击的最佳做法是什么？（包括但不限于sql注入攻击）

---

cfqueryparam是否足够？

我使用一个修改过的portcullis，并在requeststart上过滤所有传入的var作用域（URL、表单、COOKIE）。

---

有一个很棒的博客，特别是这篇文章，我想说ColdFusion的最佳实践与任何语言的web应用程序编程类似

---

我最近读了Chris Shiflett的文章，讨论的大多数问题也会影响ColdFusion，尽管处理它们的语法可能略有不同。我希望还有其他（可能更好的）语言不可知论书籍，其中包含的原则可以很容易地修改，以便在ColdFusion中使用。

尽管使用预构建的解决方案会起作用，但我建议您了解所有必须保护的可能问题。查看黑客防御ColdFusion网站。

我向您推荐Justin McLean的精彩演讲“ColdFusion安全和 风险管理”。它包括一个案例研究

PDF演示文稿

---

视频流：

永远不要信任客户端

最专门针对ColdFusion的“设置并忘记”是遵循上面提到的服务器管理员强化指导原则，保持服务器最新，并在twitter上关注ColdFusion以立即了解任何新问题

对于所有语言通用的应用程序安全性，您应该验证从客户端接触到服务器的每一条信息。表单显然是严格控制的领域，但不要忘记可能用于应用程序状态管理或控制的URL参数。像&startRow=10&tag=security这样的东西是用户输入的，用户不“应该”触摸它。即使您的应用程序永远不会因无效数据而中断，您也可能不知道将来将如何使用这些数据。验证可以简单到确保某人没有输入100个字符长的名字，并且不包含编程字符，或者确保&startRow始终是一个数字。这些是应用程序开发人员有时会跳过的小事情，因为只要您按预期使用软件，一切都正常

我相信你可以以索尼Playstation黑客事件为例。不幸的是，他们没有想到会有人入侵客户端（playstation控制台）并操纵playstation控制台软件入侵服务器。服务器信任客户端

---

永远不要相信客户

CfQueryParam非常重要，但还远远不够

---

我们在我的工作中使用了一种盒装解决方案：。它覆盖了大部分的基地。即使你不想买它，你也可以看看它的功能集，了解一下你应该考虑的事情

您可以查看-

---

另一个了解安全性（以及各种其他主题）的好地方是查看Charlie Arehart的大量录制用户组演示文稿列表：

以下是有关可用于防止XSS的好工具的信息

---

相当容易实现且基于Java。

这有什么不具有建设性的？关闭此线程不是建设性的IMHO#主持人：这是一个有效的问题，除非你是一个Ruby浏览器。