仅需2步修复被注入的sql server

最新推荐文章于 2024-07-07 13:00:43 发布
最新推荐文章于 2024-07-07 13:00:43 发布
阅读量635 收藏 1
点赞数
分类专栏: 数据库 sql 文章标签: sql server 数据库 sql
  很多网站经常被当“肉站”来研究并注入,之后数据库所有表的所有char,varchar,nchar,nvarchar类型的字段值都被加上了一段JS

此时除了查找程序漏洞外 ,迫切要做的是恢复数据库,这里有一段SQL,你只要进入查询分析器 指定被注入的数据库,然后运行即可。

注意:第二行的js换成你数据库中被植入的JS,其他不用改。

 

declare @delStr nvarchar(500)
set @delStr='<script src=http://3b3.org/c.js></script>'

set nocount on

declare @tableName nvarchar(100),@columnName nvarchar(100),@tbID int,@iRow int,@iResult int
declare @sql nvarchar(500)

set @iResult=0
declare cur cursor for
select name,id from sysobjects where xtype='U'

open cur
fetch next from cur into @tableName,@tbID

while @@fetch_status=0
begin
   declare cur1 cursor for
        --xtype in (231,167,239,175) 为char,varchar,nchar,nvarchar类型
        select name from syscolumns where xtype in (231,167,239,175) and id=@tbID
   open cur1
   fetch next from cur1 into @columnName
   while @@fetch_status=0
   begin
      begin try
         set @sql='update [' + @tableName + '] set ['+ @columnName +']= replace(['+@columnName+'],'''+@delStr+''','''') where ['+@columnName+'] like ''%'+@delStr+'%'''          
         exec sp_executesql @sql      
         set @iRow=@@rowcount
         set @iResult=@iResult+@iRow
         if @iRow>0 
         begin
            print '表:[' + @tableName + '],列:'+@columnName+'被更新'+convert(varchar(10),@iRow)+'条记录;'
         end      
      end try 
      begin catch
      end catch
      fetch next from cur1 into @columnName
   end

   close cur1
   deallocate cur1
   
   fetch next from cur into @tableName,@tbID
end
print '数据库共有'+convert(varchar(10),@iResult)+'条记录被更新!!!'

close cur
deallocate cur
set nocount off


qiuzhengxiang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
13sql注入修复
技术骨干小李的博客
07-27 2970
sql注入修复思路
sqlserver 数据库注入解决方案
09-11
SQL Server 数据库注入是一种常见的安全威胁,它发生在攻击者通过输入恶意SQL代码来操纵数据库系统,获取敏感信息或破坏数据。解决此类问题至关重要,以下是一些关键的防范措施和解决方案: 1. **输入验证**: ...
修复注入sql server
weixin_34050427的博客
03-04 69
declare @delStr nvarchar(500) set @delStr='<script src=http://3b3.org/c.js></script>'----这边修改被注入的js set nocount on declare @tableName nvarchar(100),@columnName nvarchar(100),@tbID...
SQL Server 注入
mingyqf的博客
03-22 2390
SQL Server 注入 (转至:https://www.1024sou.com/article/798425.html) 侵删 一、简介 SQL Server数据库是由Microsoft开发和推广的关系数据库管理系统(DBMS),是一个比较大型的数据库。端口号为1433。数据库后缀名 .mdf,注释符是 – sa权限:数据库操作,文件管理,命令执行,注册表读取等 (数据库最高权限system) db权限:文件管理,数据库操作等权限 users-administrators **public权限:**数
sql注入详解
热门推荐
good good study
05-05 20万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
2修复注入sql server[替换注入的脚本]
wangsen2235068的专栏
08-05 1077
很多网站经常被当“肉站”来研究并注入,之后数据库所有表的所有char,varchar,nchar,nvarchar类型的字段值都被加上了一段JS 此时除了查找程序漏洞外 ,迫切要做的是恢复数据库,这里有一段SQL,你只要进入查询分析器 指定被注入数据库,然后运行即可。 注意
SQL 注入漏洞原理以及修复方法
it知识分享 free for nothing..
01-23 7423
SQL 注入漏洞原理以及修复方法
常见的sql注入修复方式
u011624157的专栏
01-25 3097
常见代码疏漏 对于mysql 1.将 WHERE some_field = ‘${变量}’ 替换为 WHERE some_field = #{param} 2.将 like ‘%${变量}%’ 替换为 like concat(’%’, #{变量}, ‘%’) 3.将 like concat(’%’, ${变量}, ‘%’) 替换成 like concat(’%’, #{变量}, ‘%’) 将 WHERE some_field IN (${变量}) 替换为 WHERE `some_field` IN &l
Java中SQL注入审计及修复
liguangyao213的博客
03-28 798
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 sql注入 漏洞原理: 在常见的web漏洞中,SQL注入漏洞较为常见,危害也较大。攻击者一旦利用系统中存在的SQL注入漏洞来发起攻击,在条件允许的情况下,不可以获取整站数据,还可通过进一的渗透来获取服务器权限,从而进入内网。 注入攻击的本质,是把用户输入的数据当做代码执行。这里
sql server 2008 mysql 手工注入
03-25
对于SQL Server 2008,防止SQL注入的关键在于使用参数化查询或存储过程。参数化查询允许开发者将用户输入作为参数传递,而不是直接拼接在SQL语句中,从而避免了恶意代码的执行。存储过程则提供了封装和预编译SQL语句...
SQLserver 2005 SP3-64位及32位补丁
03-16
2. 安全性增强:SQL Server 2005 SP3引入了更严格的默认安全设置,如强化了对SQL注入攻击的防护。此外,它还提供了一套完整的安全更新,修补了自SP2以来发现的安全漏洞,以保护数据库免受恶意攻击。 3. 数据库引擎...
sql server 2005 sp4补丁包
09-23
这些修复包括对SQL注入、缓冲区溢出和其他常见攻击的防护。 2. **性能优化**:通过改进查询执行引擎和缓存管理,SP4提高了SQL Server 2005的查询处理速度和资源利用率,这对于处理大量数据的业务系统尤为重要。 3....
pangolinsdl—sql注入工具
06-20
**SQL注入工具——PangolinsDL详解** SQL注入是一种常见的网络安全漏洞,它允许攻击者通过输入恶意的SQL代码来操纵或获取数据库中的敏感信息。针对这种威胁,开发者和安全研究人员常常使用SQL注入工具来进行测试和...
流式数据库 RisingWave「Demo」:直播指标实时分析
https://risingwave.com/
07-04 805
直播是目前最为流行的娱乐形式之一,本教程将分享如何使用开源流式数据库 RisingWave 监控直播指标。我们为本教程设置了一个演示集群,以便大家可以轻松尝试。
JDBC (基础)
最新发布
weixin_51644244的博客
07-07 334
思考: java和sql是两种不同的编程语言。翻译程序---每个数据库厂商都提高了翻译软件-- -打包jar。---我们的java代码引入jar就可完成与数据库的沟通。Java :OOP 面向对象的编程对象。SQL: 结构化查询语言。
数据库原理之并发控制的基本概念
m0_75262255的博客
07-06 1099
并发控制的简单介绍。
短链接学习day2
weixin_63374588的博客
07-05 871
要注意的是,转换过程中,BeanUtil.toBean()方法通过反射机制创建了目标类型的实例,并将数据源对象的属性值复制到目标对象中。但是为了防止redis的主节点挂掉后,从节点变成主节点时,有些数据还没复制,就会导致脏数据,就会可能导致用户名重复,所以为了防止这个情况,我们要将username设置为唯一索引,让数据库兜底。因为用户名不是特别重要的数据,如果说我设置用户名为 aaa,系统返回我不可用,那我大可以在 aaa 的基础上再加一个a,也就是 aaaa。一定要记得写枚举的时候是用逗号分割。
sql server xp_cmdshell注入
10-19
然而,xp_cmdshell也被黑客滥用,用于进行SQL Server注入攻击。 xp_cmdshell注入是一种利用SQL Server的xp_cmdshell的漏洞,通过构造恶意SQL语句来执行任意操作系统命令。攻击者可以将自己的恶意脚本嵌入到SQL查询...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值