晨想

纯技术、纯兴趣

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::

这几天接连被问到网站数据库被sql注入后很多字段被改加了js代码,网上查了一下,看来也是批处理写入的,那么只有用同样的办法来解决了

 上代码


代码
CREATE PROCEDURE spCheckJsInjection AS  
declare @t varchar(
555),@c varchar(555)   
declare table_cursor cursor 
for select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=35 or b.xtype=99 or b.xtype=231 or b.xtype=167 )  
open table_cursor  
fetch next from table_cursor into @t,@c  
while(@@fetch_status=0)  
begin  
exec(
'  
if exists (select * from ['+@t+']  where ['+@c+'] like ''%<script%'')  
    begin  
 update [
'+@t+'set ['+@c+']=left(cast(['+@c+'as varchar),CHARINDEX(''<script'', ['+@c+'])-1where ['+@c+'] like ''%<script%''  
    end  
' )  
fetch next from table_cursor into @t,@c  
end  
close table_cursor  
deallocate table_cursor;  
  


上面判断凡是<script打头的内容,其后面全部过滤掉,这样可以解决这个问题。但如果要彻底解决问题,我认为比较快的解决办法不是要求所有人去改程序,这个不现实,自己的东西还好说,别人的东西是不允许你随便改的。那么怎么办呢?比较完美快速的办法就是readonly账号和owner账号分开用,select操作一律用readonly,这样通过url参数传递的注入可以有效屏蔽。同样,对于sql注入这类问题,我觉得与其只是在程序上注意外,数据库权限账号的合理设置是必须的,这个防线可以解决很大的开发问题带来的影响。

 另外,经过上述设置后,哪些网站数据库运行了相当长的时间也没有出现这种问题了。据说以前是几分钟就被改写。这些做木马的人也是太可恶的,为了赚钱不择手段啊。几分钟的频率去注入别人的数据库,当别人不用这个网站啊,呵呵。

posted on 2009-11-23 17:00  超晨  阅读(749)  评论(2编辑  收藏  举报