突然发现数据库多个字段被注入了广告代码,应该怎么处理?

第一,这样的方式,很有可能是注入,
可能你前端没做好过滤第二,如果你硬要说这不是注入,
那就在显示时,做好转码,直接把这些当成文本显示出来,而不是HTML代码

解决方案 »

  1.   

    若是注入,我所有的代码中都有防注入的那个包含程序,现在我就是搞不懂是哪出的问题,目前是关闭了sql的远程连接
      

  2.   

    是否通过日志可以看出是否是注入,还是什么,但sql2008日志又如何查看
      

  3.   

    如果不是注入,我的意思是,他提交的文本就是这个样子的【火车票</title><style>.agnc{position:absolute;clip:rect(438px,auto,auto,438px);}</style><div class=agnc>Here are part of <a href=http://chrispaydayloans.com >online payday loans</a> loans already.</div>】这个就是他提交的文本,他指望你显示这个文本的时候,没处理HTML代码,然后他就称心如意了因此,你可以在显示的时候,把HTML转码掉
    也可以在用户提交文本的地方,把HTML代码转码存储如果是这样,这个不算是SQL注入攻击
      

  4.   

    因此,这是SQL注入的可能性是最大的,因为批量更新的语句非常简单你的那个防注入程序可能没处理
    其实你只要对字符串数据过滤单引号为两个单引号即可
      

  5.   

    你试试通过 sql profiler监控一下,看看是否是在应用 插入数据的时候,就已经是那样了
      

  6.   

    嗯,先换一个防sql注入的代码再看看,谢谢你了,收分
      

  7.   

    推荐一本书:
    sql注入攻击与防御
    清华大学出版社
    本人刚从图书馆借到,准备学习一下