开发学院软件开发C语言 存储过程被SQL注入式攻击后的注入代码 阅读

存储过程被SQL注入式攻击后的注入代码

 2009-04-04 08:22:34 来源:WEB开发网   
核心提示:哎!我的网站也被SQL注入式攻击了,注入了大量的script代码,存储过程被SQL注入式攻击后的注入代码,烦死人了,防SQL 注入式攻击是一回事儿, ASP.net后台代码protected void Button1_Click(object sender, EventArgs e) { string aaaa = t

哎!我的网站也被SQL注入式攻击了,注入了大量的script代码,烦死人了,防SQL 注入式攻击是一回事儿,也得把数据库弄弄干净呀,也就是要把注入代码替换掉呀,因为我数据的内容字段是Ntext类型的,其容量绝大多数都在8000字节以上,用一般性的Replace解决不了问题,所以在网上学习了好多种Ntext类型替换的方法,选择了一种手动替换的方法,终于把数据库整理干净了,现把代码贴出来,供大家参考。

ASP.net后台代码

protected void Button1_Click(object sender, EventArgs e)
   {
     string aaaa = this.TextBox3.Text.Trim(); //字段名
     string bbbb = this.TextBox1.Text.Trim(); //需要替换的字符
     string cccc = this.TextBox2.Text.Trim(); //替换后的字符
     if (this.TextBox2.Text == "") //如果没有输入用于替换的字符,则赋予空值
     {
       cccc = null;
     }
     //在 T-SQL 中,两个单引号表示一个单引号(''表示为')
     //Update [数据表名] SET [字段名] = REPLACE([字段名],'老字符串','新字符串')

     //string sqlStr = "Update 表名 set nkey = REPLACE(nkey,',','>') where nkey like '%,%'";
     if (aaaa == "字段名") //如果字段名是 字段名 ,因为字段名是Ntext数据类型
     {
       string ConnectionString = 链接数据库的链接字符串;
       SqlConnection conn = new SqlConnection(ConnectionString);
       conn.Open();
       //设定SqlCommand的属性
       SqlCommand cmd = new SqlCommand("存储过程名", conn);
       cmd.CommandType = CommandType.StoredProcedure;
       cmd.Parameters.Add("@SourceStr", SqlDbType.VarChar, 1000).Value = this.TextBox1.Text.Trim();  //需要替换的字符
       cmd.Parameters.Add("@ReplaceStr", SqlDbType.VarChar, 1000).Value = this.TextBox2.Text.Trim(); //替换后的字符
       cmd.CommandTimeout=600; //等待时间
       cmd.ExecuteNonQuery(); //执行SqlCommand命令
     }
     else //不是 Ntext 类型
     {
       string sqlStr = "Update 表名 set " + aaaa + "= REPLACE(" + aaaa + ",'" + bbbb + "'," + "'" + cccc + "')";
       string connstring = 链接数据库的链接字符串;
       using (SqlConnection con = new SqlConnection(connstring))
       {
         con.Open();
         SqlHelper.CreateSqlTable(connstring, sqlStr);
         Response.Write(""); //2"'
       }
     }
   }

1 2  下一页

Tags:存储 过程 SQL

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接