消除数据库JS入侵的脚本

这几天接连被问到网站数据库被sql注入后很多字段被改加了js代码，网上查了一下，看来也是批处理写入的，那么只有用同样的办法来解决了

上代码

代码CREATE PROCEDURE spCheckJsInjection AS
declare @t varchar(555),@c varchar(555)
declare table_cursor cursor for select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=35 or b.xtype=99 or b.xtype=231 or b.xtype=167 )
open table_cursor
fetch next from table_cursor into @t,@c
while(@@fetch_status=0)
begin
exec('
if exists (select * from ['+@t+'] where ['+@c+'] like ''%<script%'')
begin
update ['+@t+'] set ['+@c+']=left(cast(['+@c+'] as varchar),CHARINDEX(''<script'', ['+@c+'])-1) where ['+@c+'] like ''%<script%''
end
' )
fetch next from table_cursor into @t,@c
end
close table_cursor
deallocate table_cursor;

上面判断凡是<script打头的内容，其后面全部过滤掉，这样可以解决这个问题。但如果要彻底解决问题，我认为比较快的解决办法不是要求所有人去改程序，这个不现实，自己的东西还好说，别人的东西是不允许你随便改的。那么怎么办呢？比较完美快速的办法就是readonly账号和owner账号分开用，select操作一律用readonly,这样通过url参数传递的注入可以有效屏蔽。同样，对于sql注入这类问题，我觉得与其只是在程序上注意外，数据库权限账号的合理设置是必须的，这个防线可以解决很大的开发问题带来的影响。

另外，经过上述设置后，哪些网站数据库运行了相当长的时间也没有出现这种问题了。据说以前是几分钟就被改写。这些做木马的人也是太可恶的，为了赚钱不择手段啊。几分钟的频率去注入别人的数据库，当别人不用这个网站啊，呵呵。