我想防止SQL注入攻击。我们有一个表格，要求输入用户的AD用户名和密码。然后我们的处理代码如下所示：

<cfldap name="ldap_result" action="query" server="999.999.999.999"
attributes="userprincipalname,title,samaccountname,sn,name,mail,cn"
filter="(&(objectclass=user)(sAMAccountName=#form.username#))"
start="dc=us,dc=company,dc=lan"
scope="subtree"
username="US\#form.username#"
password="#form.password#">

不可以，您不能在cfqueryparam标记内使用cfldap标记。 cfqueryparam专用于SQL查询。您在正确地思考。永远不要信任用户输入

cfldap标记确实可以为您提供一些保护。


LDAP注入

ColdFusion使用<cfldap>标记与LDAP服务器通信。此标记具有ACTION属性，该属性指示针对LDAP执行的查询。此属性的有效值为：添加，删除，查询（默认），修改和ModifyDN。所有<cfldap>调用都转换为JNDI（Java命名和目录接口）查找。但是，由于<cfldap>包装了调用，因此如果将本机JNDI代码传递给其属性，它将引发语法错误，从而使LDAP注入更加困难。


从ColdFusion 8 developer security guidelines的第14页开始（如果尚未阅读的话）。它是为ColdFusion 8编写的，但是即使不是全部，它仍然很重要。有一个updated version of the document for ColdFusion 11，但实际上它也引用了版本8文档。

我建议您在此处使用白名单方法。您的活动目录对用户名和密码字段有特定要求；仅小写和大写字母，数字等。创建一个正则表达式，仅检查用户输入中那些有效字符。如果任何一个字段包含其他内容，则拒绝提交，并且不运行cfldap调用。