sql注入数据库改回代码

'数据库里被加上<script_src=http://ucmal.com/0.js> </script> 
'SQL code
'-------------------------------------------------
DECLARE @fieldtype sysname
SET @fieldtype='varchar'

--删除处理
DECLARE hCForEach CURSOR GLOBAL
FOR
Select N'update '+QUOTENAME(o.name)
    +N' set  '+ QUOTENAME(c.name) + N' = replace(' + QUOTENAME(c.name) + ',''<script_src=http://ucmal.com/0.js> </script>'','''')'
FROM sysobjects o,syscolumns c,systypes t
Where o.id=c.id 
    AND OBJECTPROPERTY(o.id,N'IsUserTable')=1
    AND c.xusertype=t.xusertype
    AND t.name=@fieldtype
EXEC sp_MSforeach_Worker @command1=N'?'



文章来自: 本站原创
引用通告地址: http://www.is21.cn/trackback.asp?tbID=350
Tags:
评论: 0 | 引用: 0 | 查看次数: 1308
发表评论
你没有权限发表留言!