使用cfqueryparam与常量

Question

使用cfqueryparam与常量

5

我们在SQL查询中一贯地使用cfqueryparam。

我的前任似乎有些过于热衷于将其与直接值一起使用，而不是变量。

不是吗？

record_is_deleted_bt = <cfqueryparam cfsqltype="cf_sql_bit" value="0">

过度了吗？我的意思是，这里没有SQL注入的机会，我不认为在这里使用绑定变量对于提高数据库性能有任何帮助。那么像这样做不是同样合理吗？

record_is_deleted_bt = 0

在这种情况下，使用cfqueryparam有什么优势，除了养成使用它的习惯外？有没有缺点？

- Fish Below the Ice

1

我不知道其中任何一项。我曾经是那些过于热衷的人之一，直到我的一个同事告诉我要聪明点。 - Dan Bracuk

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- CFML_Developer · Accepted Answer

不，这不是过度防范。cfqueryparam的首要职责是数据绑定。它有助于防止sql注入攻击，这只是额外的加分项。通过数据绑定的预处理语句执行速度更快。你错了，认为它只有在防止sql攻击方面才有帮助。
重要提示： 我正在添加由@Dan Bracuk提供的在Oracle数据库上的测试用例。

<cfquery name="without" datasource="burns">
select count(*)
from burns_patient
where patientid = 1
</cfquery>

<cfquery name="with" datasource="burns">
select count(*)
from burns_patient
where patientid = <cfqueryparam cfsqltype="cf_sql_integer" value="1">
</cfquery>

<cfscript>
TotalWithout = 0;
TotalWith = 0;
</cfscript>

<cfloop from="1" to="1000" index="i" step="1">

  <cfquery name="without" datasource="burns" result="resultwithout">
    select count(*)
    from burns_patient
    where patientid = 1
  </cfquery>

  <cfquery name="with" datasource="burns" result="resultwith">
    select count(*)
    from burns_patient
    where patientid = <cfqueryparam cfsqltype="cf_sql_integer" value="1">
  </cfquery>

  <cfscript>
    TotalWithout += resultwithout.executiontime;
    TotalWith += resultwith.executiontime;
  </cfscript>

</cfloop>

<cfdump var="With total is #TotalWith# and without total is #TotalWithout#.">

不使用缓存的情况下，总时间范围在1800至4500毫秒之间，而使用缓存的情况下，总时间范围在700至900毫秒之间。不使用缓存的总时间始终是使用缓存的总时间的两倍以上。