大家平時在使用mssql的時候,有沒有注意自己的資料庫有沒有被木馬注入的可能呢
請使用以下**,這個是查詢所有字元欄位的sql語句:
declare@tvarchar(255
), @c
varchar(255
) declare table_cursor cursor
forselect a.name,b.name from
sysobjects a,syscolumns b
where a.id=b.id and a.xtype='u
'and (b.xtype=
99or b.xtype=
35or b.xtype=
231or b.xtype=
167)
open
table_cursor
fetch
next
from table_cursor into
@t,@c
while(@@fetch_status=0
) begin
@cfetch
next
from table_cursor into
@t,@c
endclose
table_cursor
deallocate table_cursor
如果可以查詢成功,趕緊改許可權吧
1.不要使用sa使用者連線資料庫
2、新建乙個public許可權資料庫使用者,並用這個使用者訪問資料庫
3、[角色]去掉角色public對sysobjects與syscolumns物件的select選擇拒絕
4、[使用者]使用者名稱-> 右鍵-屬性-許可權-在sysobjects與syscolumns上面選擇拒絕
SQL資料庫表防JS木馬注入
今天早上,開啟 一看,發現在自己的 裡面的全部不顯示了,取而代之的是一串木馬 被黑!替換資料表中每個字元段內中的特殊值 鑑於獲取資料表的列表資料時候經常需要獲取欄位名稱。特整理了下如下 適用場合 設計或者更新sql儲存過程的select語句或者insert語句 返回字串格式類似於 id,begint...
SQL資料庫表防JS木馬注入
今天早上,開啟 一看,發現在自己的 裡面的全部不顯示了,取而代之的是一串木馬 被黑!替換資料表中每個字元段內中的特殊值 鑑於獲取資料表的列表資料時候經常需要獲取欄位名稱。特整理了下如下 適用場合 設計或者更新sql儲存過程的select語句或者insert語句 返回字串格式類似於 id,begint...
資料庫被注入解決方案
定義要去除的字元,請注意,肯定不止一條,我的伺服器就查到許多不同的 declare delstr nvarchar 500 set delstr 這裡被注入的字段串 以下為操作實體 set nocount on declare tablename nvarchar 100 columnname nv...