Evitar SQL injection en ColdFusion.

Cuando se incorporan consultas a ColdFusion, sin etiquetas cfqueryparams, se debilita la seguridad del sistema haciéndolo vulnerable a ataques de SQL injection. Las etiquetas cfqueryparams previenen de ataques SQL injection porque sirven para:

• Comprobar los tipos de datos que se incorporan a un parámetro.
• Separar el código SQL de los parámetros introducidos.
• Garantizar que los valores de un parámetro nunca se agreguen a una consulta SQL modificando la misma para realizar un ataque.

Con la herramienta qpScanner es posible explorar el código, en busca de consultas con variables que no estén dentro de una etiqueta cfqueryparam.

Entre las características de qpScanner destaca:

• Encuentra todas las variables en consultas sin un cfqueryparam circundante.
• Exhibe nombres de fichero, las líneas de código y el contenido de la pregunta para todos los riesgos potenciales.
• Múltiples formatos de presentación de resultados (HTML, XML y WDDX).
• Soporta: ColdFusion 8, ColdFusion MX7, BlueDragon 7 y Railo 3.

Más información y descarga de qpScanner:
http://qpscanner.riaforge.org/

Más información sobre cfqueryparams en ColdFusion:
http://www.moopoint.com/tutorials/queryparam_intro.html