Я пытаюсь создать динамический оператор sql с этой строкой
<cfset SQL = "SELECT url, MONTH(event_date) AS months, YEAR(event_date) AS year, event_date, title from events where title LIKE '%#form.event_name#%' ">
<cfquery name="results" >
#SQL#
</cfquery>
Кажется, есть проблема с подобным предложением. Есть идеи? Нужно ли мне избегать%?
Спасибо
В CFQUERY ColdFusion автоматически заменит одинарные кавычки в #SQL# двойными кавычками.
Итак, теоретически вы должны написать свой запрос следующим образом:
<cfquery name="results" >
#PreserveSingleQuotes(SQL)#
</cfquery>
НО... Очень опасно принимать переменную формы и использовать ее без дальнейшей проверки непосредственно в вашем запросе. Мне это кажется приглашением к атакам SQL-инъекций.
Я бы предпочел использовать <cfqueryparam> так:
<cfquery name="results" >
SELECT url, MONTH(event_date) AS months, YEAR(event_date) AS year, event_date, title
from events
where title LIKE <cfqueryparam cfsqltype="cf_sql_varchar" value="%#form.event_name#%">
</cfquery>
