我的任务是维护一个最近成为SQL注入攻击受害者的非营利性网站.有人利用网站上的表单将文本添加到数据库中的每个可用的类文本字段(varchar,nvarchar等),当呈现为HTML时,包括并执行JavaScript文件.
Google对该网址的搜索表明它来自罗马尼亚或中国境外的垃圾邮件发送者,但现在并不重要.
我通过手动删除了在网站上大多数可见和热门页面上呈现的文本字段中的信息,但我很好奇从网站上其他文本字段中删除文本的最佳编程方式是什么.
显然还有更多需要做的事情(加强网站反对SQL注入,使用降价而不是存储HTML等)并且我正在研究那些但是暂时我真正需要的是一个很好的方式进入并以编程方式删除注入的文本.我知道确切的文本是什么,每次都是一样的,并且它总是附加到任何文本字段的末尾.我不能在这个时候删除数据库中的所有HTML,我不知道什么时候发生这种情况,所以我不能回滚到备份.此外,该站点位于共享主机上,我无法使用SQL Server工具直接连接到数据库.我可以对它执行查询,所以如果有任何方法可以构造一个SQL更新语句来实现"
从最近的备份还原数据.
京公网安备 11010802040832号 | 京ICP备19059560号-6 