批量替换sqlserver数据库挂马字段并防范sql注入攻击的代码-mysql教程-PHP中文网

首页

数据库

mysql教程

批量替换sqlserver数据库挂马字段并防范sql注入攻击的代码

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 07, 2016 pm 05:59 PM

sqlserver批量替换

有时候网站sqlserver数据库被挂马了，网上的很多软件与方法都是针对text小于8000的，这里的方法貌似可行，需要的朋友可以参考下。

首先备份数据库，以防不必要的损失。而后对所有被挂马的小于8000字符的varchar字段执行
代码如下:
update 表名 set 字段名=replace(字段名,'','')

其中为挂马字段。执行后挂马字段被清除。但是有部分字段，比如内容字段等大于8000字符的varchar字段则需要执行
代码如下:
update 表名 set 表项=replace(cast(表项 as varchar(8000)),' ','')

来更新被挂马字段，而房产网由于内容比较多，执行以上语句的时候会发生假死现象，于是加个区间分两次进行，一次处理15000条得以解决。
代码如下:
update 表名 set 表项=replace(cast(表项 as varchar(8000)),' ','') where id>1 and id
以上被挂马问题一般都是sql数据库，这是sql数据库特有的注入漏洞。换数据库不现实，只能针对以上情况进行防范。思路就是在所有数据库链接请求那里做相应的过滤。
代码如下:
Response.Buffer = True '缓存页面
'防范get注入
If Request.QueryString "" Then StopInjection(Request.QueryString)
'防范post注入
If Request.Form "" Then StopInjection(Request.Form)
'防范cookies注入
If Request.Cookies "" Then StopInjection(Request.Cookies)
'正则子函数
Function StopInjection(Values)
Dim regEx
Set regEx = New RegExp
regEx.IgnoreCase = True
regEx.Global = True
regEx.Pattern = "'|;|#|([\s\b+()]+([email=select%7Cupdate%7Cinsert%7Cdelete%7Cdeclare%7C@%7Cexec%7Cdbcc%7Calter%7Cdrop%7Ccreate%7Cbackup%7Cif%7Celse%7Cend%7Cand%7Cor%7Cadd%7Cset%7Copen%7Cclose%7Cuse%7Cbegin%7Cretun%7Cas%7Cgo%7Cexists)[/s/b]select|update|insert|delete|declare|@|exec|dbcc|alter|drop|create|backup|if|else|end|and|or|add|set|open|close|use|begin|retun|as|go|exists)[\s\b[/email]+]*)"
Dim sItem, sValue
For Each sItem In Values
sValue = Values(sItem)
If regEx.Test(sValue) Then
Response.Write ""
Response.End
End If
Next
Set regEx = Nothing
End function
%>

做一个通用的sql防注入页面，把它包含在conn.asp数据库连接语句里边，这样就实现了全站的防范 sql 注入的攻击了。但是前台的类似？id=这样的语句还是存在注入漏洞，需要我们严格过滤 request.form 和 request.querystring 获取的内容。坚决不用 request("name") 这样的方式获取值，凡是采用 cookies 保存的内容，尽量不要用在sql语句里进行查询数据库操作。

如果不熟悉sqlserver的朋友可以用软件来实现

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

MySQL：字符串数据类型可用哪些字符集？May 10, 2025 am 12:07 AM

mysqloffersvariouscharactersetsforstringdatatypes：1）latin1 forwesterneuropeanlanguages，2）utf8 formultingualsupport，3）utf8mb4f OREXTEDENDENDENENICODECLUDINGEMOJIS，4）UCS2FORIXED-WIDTHENCODING，5）assiiforbasiclatin.ChoosideStherightStetSetensensersdaintegrity

mysql：斑点流比存储它们更好吗？May 10, 2025 am 12:06 AM

流式传输BLOB确实比直接存储更好，因为它能减少内存使用和提高性能。1）通过逐步读取和处理文件，避免了数据库膨胀和性能下降。2）流式传输需要更复杂的代码逻辑，且可能增加I/O操作次数。

MySQL字符串类型：存储，性能和最佳实践May 10, 2025 am 12:02 AM

mySqlStringTypesimpactStorageAndPerformanCeaseAsfollows：1）长度，始终使用theSamestoragespace，whatcanbefasterbutlessspace-felfficity.2）varCharisvariable varcharisvariable length，morespace-morespace-morespace-effficitybuteftife buteftife butfority butfority textifforlyslower.3）

了解MySQL字符串类型：VARCHAR，文本，char等May 10, 2025 am 12:02 AM

mySqlStringTypesIncludeVarChar，文本，char，enum和set.1）varCharisVersAtileForvariable-lengthStringStringSuptOptoPeptoPepecifientlimit.2）textisidealforlargetStortStorStoverStorextorewiteWithoutAdefinedLengthl.3）charlisfixed-Length

MySQL中的字符串数据类型是什么？May 10, 2025 am 12:01 AM

MySQLoffersvariousstringdatatypes:1)CHARforfixed-lengthstrings,2)VARCHARforvariable-lengthtext,3)BINARYandVARBINARYforbinarydata,4)BLOBandTEXTforlargedata,and5)ENUMandSETforcontrolledinput.Eachtypehasspecificusesandperformancecharacteristics,sochoose

如何向新的MySQL用户授予权限May 09, 2025 am 12:16 AM

TograntpermissionstonewMySQLusers,followthesesteps:1)AccessMySQLasauserwithsufficientprivileges,2)CreateanewuserwiththeCREATEUSERcommand,3)UsetheGRANTcommandtospecifypermissionslikeSELECT,INSERT,UPDATE,orALLPRIVILEGESonspecificdatabasesortables,and4)

如何在MySQL中添加用户：逐步指南May 09, 2025 am 12:14 AM

toadduserInmysqleffectection andsecrely，theTheSepsps：1）USEtheCreateuserStattoDaneWuser，指定thehostandastrongpassword.2）GrantNectalRevileSaryPrivilegesSustate，usiveleanttatement，AdheringTotheTeprinciplelastPrevilegege.3）

mysql：添加具有复杂权限的新用户May 09, 2025 am 12:09 AM

toaddanewuserwithcomplexpermissionsinmysql，loldtheSesteps：1）创建eTheEserWithCreateuser'newuser'newuser'@''localhost'Indedify'pa ssword';。2）GrantreadAccesstoalltablesin'mydatabase'withGrantSelectOnMyDatabase.to'newuser'@'localhost';。3）GrantWriteAccessto'

See all articles