Мне было поручено поддерживать некоммерческий веб-сайт, который недавно стал жертвой атаки SQL-инъекцией. Кто-то воспользовался формой на сайте, чтобы добавить текст в каждое доступное текстоподобное поле в базе данных (varchar, nvarchar и т. Д.), Которое при визуализации в формате HTML включает и выполняет файл JavaScript.

Поиск в Google по URL-адресу показывает, что это от спамеров электронной почты из Румынии или Китая, но сейчас это не главное.

Я просмотрел и вручную удалил информацию из текстовых полей, отображаемых на самых видимых и популярных страницах сайта, но мне любопытно, каким будет лучший программный способ удаления текста из других текстовых полей сайта. ,

Очевидно, что нужно сделать еще больше (усиление защиты сайта от SQL-инъекций, использование чего-то вроде уценки вместо хранения HTML и т. Д.), И я работаю над этим, но в настоящее время мне действительно нужен хороший способ сделать это. и программно удалить введенный текст. Я знаю, что такое точный текст, он всегда одинаков и всегда добавляется в конец любого текстового поля. Я не могу позволить себе удалить весь HTML-код из базы данных в настоящее время, и я не знаю, когда именно это произошло, поэтому я не могу просто вернуться к резервной копии. Кроме того, сайт находится на виртуальном хостинге, и я не могу подключиться к базе данных напрямую с помощью инструментов SQL Server. Однако я могу выполнять запросы к нему, так что если есть какой-либо способ построения оператора обновления SQL с эффектом «эй, найдите все текстовые поля во всех таблицах во всей базе данных и сделайте это для их очистки», это будет Лучший.