Me han encomendado el mantenimiento de un sitio web sin fines de lucro que recientemente fue víctima de un ataque de inyección SQL. Alguien explotó un formulario en el sitio para agregar texto a cada campo de texto similar disponible en la base de datos (varchar, nvarchar, etc.) que, cuando se representa como HTML, incluye y ejecuta un archivo JavaScript.¿Cuál es la mejor manera de limpiar después de una inyección SQL?
Una búsqueda en Google de la URL indica que proviene de spammers de correo electrónico con sede en Rumania o China, pero eso no es lo importante en este momento.
Revisé y eliminé manualmente la información de los campos de texto que se muestran en la mayoría de las páginas visibles y populares del sitio, pero tengo curiosidad sobre cuál sería la mejor forma programática de eliminar el texto del otro texto campos en el sitio.
Obviamente hay mucho más por hacer (endurecer el sitio contra inyecciones de SQL, usando algo como reducción en lugar de almacenar HTML, etc.) y estoy trabajando en eso, pero por el momento lo que realmente necesito es una buena forma de entrar y eliminar mediante programación el texto inyectado. Sé cuál es el texto exacto, siempre es el mismo y siempre se agrega al final de cualquier campo de texto. No puedo permitirme eliminar todo el HTML en la base de datos en este momento y no sé exactamente cuándo sucedió esto, así que no puedo retroceder a una copia de seguridad. Además, el sitio está en alojamiento compartido y no puedo conectarme a la base de datos directamente con las herramientas de SQL Server. Sin embargo, puedo ejecutar consultas en su contra, por lo que si hay alguna forma de construir una declaración de actualización de SQL con el efecto de "hey encontrar todos los campos de texto en todas las tablas de toda la base de datos y hacer esto para limpiarlos", esa sería la mejor.
enlace "Escribí sobre ello así" (http://jcoehoorn.vox.com/library/post/sql-injection-part -2.html) se redirige a la página web que muestra "Vox ahora está cerrado. Gracias por su amor y apoyo de Vox en los últimos años" –