存储过程被SQL注入式攻击后的注入代码
2009-04-04 08:22:34 来源:WEB开发网哎!我的网站也被SQL注入式攻击了,注入了大量的script代码,烦死人了,防SQL 注入式攻击是一回事儿,也得把数据库弄弄干净呀,也就是要把注入代码替换掉呀,因为我数据的内容字段是Ntext类型的,其容量绝大多数都在8000字节以上,用一般性的Replace解决不了问题,所以在网上学习了好多种Ntext类型替换的方法,选择了一种手动替换的方法,终于把数据库整理干净了,现把代码贴出来,供大家参考。
ASP.net后台代码
protected void Button1_Click(object sender, EventArgs e)
{
string aaaa = this.TextBox3.Text.Trim(); //字段名
string bbbb = this.TextBox1.Text.Trim(); //需要替换的字符
string cccc = this.TextBox2.Text.Trim(); //替换后的字符
if (this.TextBox2.Text == "") //如果没有输入用于替换的字符,则赋予空值
{
cccc = null;
}
//在 T-SQL 中,两个单引号表示一个单引号(''表示为')
//Update [数据表名] SET [字段名] = REPLACE([字段名],'老字符串','新字符串')
//string sqlStr = "Update 表名 set nkey = REPLACE(nkey,',','>') where nkey like '%,%'";
if (aaaa == "字段名") //如果字段名是 字段名 ,因为字段名是Ntext数据类型
{
string ConnectionString = 链接数据库的链接字符串;
SqlConnection conn = new SqlConnection(ConnectionString);
conn.Open();
//设定SqlCommand的属性
SqlCommand cmd = new SqlCommand("存储过程名", conn);
cmd.CommandType = CommandType.StoredProcedure;
cmd.Parameters.Add("@SourceStr", SqlDbType.VarChar, 1000).Value = this.TextBox1.Text.Trim(); //需要替换的字符
cmd.Parameters.Add("@ReplaceStr", SqlDbType.VarChar, 1000).Value = this.TextBox2.Text.Trim(); //替换后的字符
cmd.CommandTimeout=600; //等待时间
cmd.ExecuteNonQuery(); //执行SqlCommand命令
}
else //不是 Ntext 类型
{
string sqlStr = "Update 表名 set " + aaaa + "= REPLACE(" + aaaa + ",'" + bbbb + "'," + "'" + cccc + "')";
string connstring = 链接数据库的链接字符串;
using (SqlConnection con = new SqlConnection(connstring))
{
con.Open();
SqlHelper.CreateSqlTable(connstring, sqlStr);
Response.Write(""); //2"'
}
}
}
更多精彩
赞助商链接