存储过程被SQL注入式攻击后的注入代码

核心提示：哎！我的网站也被SQL注入式攻击了，注入了大量的script代码，存储过程被SQL注入式攻击后的注入代码，烦死人了，防SQL 注入式攻击是一回事儿， ASP.net后台代码protected void Button1_Click(object sender, EventArgs e) { string aaaa = t

哎！我的网站也被SQL注入式攻击了，注入了大量的script代码，烦死人了，防SQL 注入式攻击是一回事儿，也得把数据库弄弄干净呀，也就是要把注入代码替换掉呀，因为我数据的内容字段是Ntext类型的，其容量绝大多数都在8000字节以上，用一般性的Replace解决不了问题，所以在网上学习了好多种Ntext类型替换的方法，选择了一种手动替换的方法，终于把数据库整理干净了，现把代码贴出来，供大家参考。

ASP.net后台代码

protected void Button1_Click(object sender, EventArgs e)
　　 {
　　　　 string aaaa = this.TextBox3.Text.Trim(); //字段名
　　　　 string bbbb = this.TextBox1.Text.Trim(); //需要替换的字符
　　　　 string cccc = this.TextBox2.Text.Trim(); //替换后的字符
　　　　 if (this.TextBox2.Text == "") //如果没有输入用于替换的字符，则赋予空值
　　　　 {
　　　　　　 cccc = null;
　　　　 }
　　　　 //在 T－SQL 中，两个单引号表示一个单引号（''表示为'）
　　　　 //Update [数据表名] SET [字段名] = REPLACE([字段名],'老字符串','新字符串')

　　　　 //string sqlStr = "Update 表名 set nkey = REPLACE(nkey,',','>') where nkey like '%,%'";
　　　　 if (aaaa == "字段名") //如果字段名是 字段名 ，因为字段名是Ntext数据类型
　　　　 {
　　　　　　 string ConnectionString = 链接数据库的链接字符串;
　　　　　　 SqlConnection conn = new SqlConnection(ConnectionString);
　　　　　　 conn.Open();
　　　　　　 //设定SqlCommand的属性
　　　　　　 SqlCommand cmd = new SqlCommand("存储过程名", conn);
　　　　　　 cmd.CommandType = CommandType.StoredProcedure;
　　　　　　 cmd.Parameters.Add("@SourceStr", SqlDbType.VarChar, 1000).Value = this.TextBox1.Text.Trim();　 //需要替换的字符
　　　　　　 cmd.Parameters.Add("@ReplaceStr", SqlDbType.VarChar, 1000).Value = this.TextBox2.Text.Trim(); //替换后的字符
　　　　　　 cmd.CommandTimeout=600; //等待时间
　　　　　　 cmd.ExecuteNonQuery(); //执行SqlCommand命令
　　　　 }
　　　　 else //不是 Ntext 类型
　　　　 {
　　　　　　 string sqlStr = "Update 表名 set " + aaaa + "= REPLACE(" + aaaa + ",'" + bbbb + "'," + "'" + cccc + "')";
　　　　　　 string connstring = 链接数据库的链接字符串;
　　　　　　 using (SqlConnection con = new SqlConnection(connstring))
　　　　　　 {
　　　　　　　　 con.Open();
　　　　　　　　 SqlHelper.CreateSqlTable(connstring, sqlStr);
　　　　　　　　 Response.Write(""); //2"'
　　　　　　 }
　　　　 }
　　 }