Gestern war ein interessanter Tag für einige Systemadmins. Wie es scheint wurden gestern gezielt ColdFusion Webseiten mit SQL Injection angegriffen.
Auch bei uns im Hosting waren wieder ein paar Kunden betroffen, was uns schlussendlich dazu bewogen hat die SQL Injections auf der Firewall zu filtern. Wir haben bisher bewusst darauf verzichtet weil natürlich auch ungewollte Fehler entstehen können, aber gestern war genug.
Dabei wäre es mit cfqueryparam so einfach sich zu schützen. Und wer die SQL Statements dynamisch zusammenbaut sollte die URL und FORM Variablen überprüfen und nicht einfach so übernehmen.
Update
Daniel hat mir noch den Link zu einem Tool gesendet welches den Code nach fehlenden cfqueryparam absucht.