js mysql安全_SQL数据库表防JS木马注入

于 2021-02-26 07:01:30 发布
阅读量192 收藏
点赞数
文章标签: js mysql安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34118050/article/details/114721105
版权

今天早上,打开网站一看,发现在自己的网站里面的图片全部不显示了,取而代之的是一串木马网址,被黑!

经过一整天的处理现在算是正常运转了,先将些许代码整理如下:

首先打开数据库后,发现所有的数据字段中每个字段都被插入了木马网址,整个网站三十多张表,每张表N个字段,手工删除肯定是麻烦之极,经过整理写出来了一段替换字符

8f900a89c6347c561fdf2122f13be562.png

961ddebeb323a10fe0623af514929fc1.png代码

----------------------替换数据表中每个字符段内中的特殊值--------------------------鉴于获取数据表的列表数据时候经常需要获取字段名称。特整理了下如下代码。--适用场合:设计或者更新SQL存储过程的Select语句或者Insert语句--返回字符串格式类似于:"ID,BeginTime,EndTime,AddIP,UpdateUser,UpdateTime,UpdateIP"--Select name from syscolumns Where ID=OBJECT_ID('数据表名称')--定义数据表名称

Declare @TargetTableName nvarchar(250)

Set @TargetTableName='表名称'--定义列总数

Declare @TotleColumnsintselect @TotleColumns=Count(*) from syscolumns Where ID=OBJECT_ID(@TargetTableName)--print @TotleColumns--select*from syscolumns Where ID=OBJECT_ID(@TargetTableName)--定义所有字段名称字符串

Declare @ColumnsString nvarchar(4000)

Declare @TempName nvarchar(4000)set@ColumnsString=''set@TempName=''declare @iintset@i=2while@i<=@TotleColumns

begin

select @TempName=Name from syscolumns Where ID=OBJECT_ID(@TargetTableName) and colOrder=@i

exec('UPDATE'+@TargetTableName+'SET'+@TempName+'= replace('+@TempName+','''','''')')--Set @ColumnsString=@ColumnsString+','+@TempNameset@i=@i+1end--显示结果

exec('select * from'+@TargetTableName

)

本来想使用游标实现整个数据库的遍历,由于时间紧凑,就手动的一张张表进行筛选。

对于数据库安全性的解决之道:

sql 2000的做法:

1、不要使用sa用户连接数据库

2、新建一个public权限数据库用户,并用这个访问数据库

3、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限

4、[用户]用户名称-> 右键-属性-权限-在sysobjects与syscolumns上面打“×”

5、通过以下代码检测(失败表示权限正确,如能显示出来则表明权限太高):

DECLARE @T varchar(255),

@C varchar(255)

DECLARE Table_Cursor CURSOR FOR

Select a.name,b.name from sysobjects a,syscolumns b

where a.id=b.id and a.xtype= 'u ' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)

OPEN Table_Cursor

FETCH NEXT FROM Table_Cursor INTO @T,@C

WHILE(@@FETCH_STATUS=0)

BEGIN print @c

FETCH NEXT FROM Table_Cursor INTO @T,@C

END

CLOSE Table_Cursor

DEALLOCATE Table_Cursor

恩,就是这样了,但愿该木马不要再来兴风作浪

Doctor 秦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数据库安全
sjjsaaaa的博客
07-04 1993
数据库安全数据库安全性是指保护数据库以防止不合法使用所造成的数据泄露、更改或破坏 。 系统安全保护措施是否有效是数据库系统主要的性能指标之一。 一、数据库安全性概述 1.数据库的不安全因素 1.非授权用户对数据库的恶意存取和破坏 一些黑客(Hacker)和犯罪分子在用户存取数据库时猎取用户名和用户口令,然后假冒合法用户偷取、修改甚至破坏用户数据。 数据库管理系统提供的安全措施主要包括用户身份鉴别、存取控制和视图等技术。 2.数据库中重要或敏感的数据被泄露 黑客和敌对分子千方百计盗窃数据库中的
JS代码防止SQL注入的方法(超简单)
01-19
下面通过两个方面给大家介绍js代码防止sql注入的方法,非常简单实用,感兴趣的朋友参考下吧! 1.URL地址防注入: //过滤URL非法SQL字符 var sUrl=location.search.toLowerCase(); var sQuery=sUrl.substring(sUrl.indexOf(=)+1); re=/select|update|delete|truncate|join|union|exec|insert|drop|count|'||;|>|<|%/i; if(re.test(sQuery)) { alert(请勿输入非法字符); location.href
js里执行mysql锁_javascript – 使用JS执行MySQL查询及其涉及的安全问题
weixin_28738983的博客
01-30 78
Introducing easy JavaScript data accessSo you want to rapidly prototype a really cool Web 2.0 JavaScript application, but you don’t want to spend all your time writing the wiring code to get to the da...
mysql 木马_用Mysql语句来生成后门木马方案
weixin_42509847的博客
01-25 277
下面的文章主要是介绍又如何通过MySQL(和PHP搭配之***组合) 的Mysql语句来生成后门木马的具体操作方法!以下的文章主要是通过相关代码的方式来引出Mysql语句生成后门木马的具体操作方案。SELECT*FROM`vbb_strikes`WHERE1unionselect2,3,0x3C3F7068702073797374656D28245F524551554553545B...
MySQL笔记.zip_MySQL数据库_SQL__MySQL数据库_SQL_
08-09
存储过程和触发器也是笔记中的重要章节,它们是数据库的高级功能,允许预编译和存储复杂的SQL逻辑,提高性能和安全性。此外,笔记可能还会讲解视图,它是虚拟表,其结构和数据来源于一个或多个基表。 最后,笔记...
sql_CONNECT.zip_MYSQL_mysql python_python sql_python 数据库_python数
09-24
接下来,我们看看标签:"mysql mysql_python python_sql python_数据库 python数据库"。这些标签进一步强调了Python与MySQL数据库之间的接口,以及Python在处理SQL数据库方面的能力。 在提供的压缩包子文件"sql_...
微软数据库开发梦工场多媒体教学-MYSQL.rar_MYSQL_my sql_sql my
09-14
【标题】"微软数据库开发梦工场多媒体教学-MYSQL.rar_MYSQL_my sql_sql my" 提供的信息表明,这是一个关于微软数据库开发的多媒体教学资源,主要聚焦于MySQL数据库系统。MySQL是一种广泛使用的开源关系型数据库管理...
information_schema数据库SQL注入中的应用.docx
06-11
SQL 注入攻击中,信息架构数据库中的三张重要的表:schemata、tables 和 columns,扮演着关键的角色。 Schemata 表 ------------- Schemata 表提供了当前 MySQL 数据库中所有数据库的信息,其中 SCHEMA_NAME ...
mysql.zip_MYSQL数据库_mysql导入_mysql文件
09-24
本资料主要围绕“MySQL数据库导入SQL文件”的主题进行详细讲解。 一、MySQL数据库简介 MySQL是一款高效、稳定且易于使用的数据库系统,它支持多种操作系统,包括Windows、Linux、Unix等。其特点是开源、免费、性能...
使用JS访问SQL数据库
04-17
使用JS绕过后台Web服务器,直接访问本地数据库服务器,虽然会有些不安全,但却能够访问大数据,并且不占用带宽。
js如何实现访问数据库实例代码、讲解,及其优缺点
qq_16143757的博客
09-03 1万+
JavaScript访问数据库的增删改查 实例参考: http://www.cnblogs.com/ranzige/archive/2014/08/01/3884583.html 详细讲解 JavaScript访问MySQL 1、下载MYSQL的ODBC连接http://www.mysql.com/downloads/connector/odbc
node.js mysql注入_JavaScript_分享两段简单的JS代码防止SQL注入,1.URL地址防注入: //过滤URL - phpStudy...
weixin_39759155的博客
02-19 274
分享两段简单的JS代码防止SQL注入1.URL地址防注入://过滤URL非法SQL字符var sUrl=location.search.toLowerCase();var sQuery=sUrl.substring(sUrl.indexOf("=")+1);re=/select|update|delete|truncate|join|union|exec|insert|drop|count|'|"...
nodejs中查询mysql防止SQL注入
cowcomic的专栏
08-03 6353
Performing queries The most basic way to perform a query is to call the .query() method on an object (like a Connection, Pool, or PoolNamespace instance). The simplest form of .query() is .query(sql...
Web安全篇之SQL注入***
weixin_34273479的博客
10-10 283
第一讲:“纸上谈兵:我们需要在本地架设注入环境,构造注入语句,了解注入原理。”; 第二讲:“实战演练:我们要在互联网上随机对网站进行友情检测,活学活用,举一反三”; 第三讲:“扩展内容:挂马,提权,留门。此讲内容颇具危害性,不予演示。仅作概述”。这个主题涉及的东西还是比较多的,结合我们前期所学。主要是让大家切身体会一下,管中窥豹,起到知己知彼的作用。千里之堤溃于蚁穴,...
JavaScript中操作Mysql数据库实例
CareChere的博客
06-15 6万+
Javascript访问MYSQL 1、下载MYSQL的ODBC连接http://www.mysql.com/downloads/connector/odbc/; 2、在JS中建立ODBC连接如下: var con = new ActiveXObject("ADODB.Connection"); con.ConnectionString = "DRIVER={MySQL ODBC 5.1
Tomcat9.0安装与配置
热门推荐
洛洛默
08-04 14万+
1.下载官网:https://tomcat.apache.org/在浏览器地址栏输入地址,进入下图页面。 点击下图红色标记处(笔者选择的Tomcat 9下载,读者可根据需要自行选择)下图蓝色标记为绿色版(需要配置环境变量),红色标记为安装版。笔者选择绿色版下载(读者可根据需要自行选择)。下载后,解压到C盘(可任意选择)。2.配置环境变量右键我的电脑,点击属性,然后按下图标记1,2,3依次进行。接着
学习笔记:node-mysql中防止SQL注入
08-10 584
备注: 本文针对 mysqljs/mysql。 为了防止SQL注入,可以将SQL中传入参数进行编码,而不是直接进行字符串拼接。在node-mysql中,防止SQL注入的常用方法有以下四种: 方法一:使用escape()对传入参数进行编码: 参数编码方法有如下三个: mysql.escape(param) connection.escape(param) pool.escape(par
mysql数据库安全防护sql注入
最新发布
06-13
SQL注入攻击是利用Web应用程序没有对用户输入的数据进行充分验证过滤,直接将用户输入的数据拼接到SQL语句中执行,从而导致数据库被攻击者非法访问或者非法修改。 为了防止SQL注入攻击,我们可以采取以下措施: 1. 参数化查询:使用参数化查询可以有效地避免SQL注入攻击,参数化查询将用户输入的数据与SQL语句分开处理,从而避免了SQL注入攻击。 2. 过滤用户输入:对用户输入的数据进行过滤,只允许输入符合规定格式的数据,比如只允许输入数字、字母等。 3. 对用户输入进行转义:将用户输入的数据中的特殊字符进行转义,比如将单引号转义成两个单引号,从而避免了SQL注入攻击。 4. 设置数据库权限:为了保护数据库安全,我们可以设置数据库的权限,只允许特定的用户访问数据库,并限制他们的操作权限。 5. 更新数据库:及时更新数据库的版本,安装安全补丁,从而避免已知的漏洞被攻击者利用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值