Прошу совета по устраненению следов sql-иньекции

@vovella · Регистрация: 11.05.2015

Студворк — интернет-сервис помощи студентам

Всем здравия.
Я являюсь полуадмином одного из сайтов по спортивной тематике. Почему полуадмин? Да потому что я до конца ничего не знаю и не умею. Везде немного да по чуть-чуть. Всегда находится то, с чем я не знаю как справиться. Друзей программистов у меня нет и совета спросить не у кого.
Суть проблемы: долгое время сайт находился на старом движке с кучей багов. С ростом популярности к сайту стали проявлять интерес разного рода взломщики да спамеры. Но всё как-то по мелочи. А вот в последнее время появился умелец и вставил во все новости код типа <script ссылка></script>. Новостей у меня 3000. Попытался написать код для очистки, да вот незадача - в тексте новостей огромная куча спецсимволов. Сперва я заменял их обработкой в пхп, но после 10 символа понял что это может длиться бесконечно. Естественно я пользовался stripslashes и тому подобными функциями, но это капля в море.
Прошу совета: каким способом можно быстро и безболезненно избавиться от привитого кода. Есть ли универсальная функция для решения моего вопроса?

@panicwassano · 05.03.2011, 16:03

эм а причем тут sql-иньекции? мне кажется это xss атаки

@nepster · 05.03.2011, 21:49

1) всегда делайте бекапы
2) всегда делайте бекапы и храните их как на сервере так и у себя на локальной машине
3) всегда делайте бекапы, что бы они были у вас перед глазами.

Был в похожей ситуации, но новостей было под 100, так что руками за час справился.
Решение как такового не знаю, но можно написать скрипт который скажем выведит все поля новостей

-------------
новость 1
-------------
новость 2
-------------
новость 3
-------------

Далее с помощью регулярного выражения заменить <script></script> на '' (тоесть удалить), вывести это все на экран в виде sql и экспортировать обратно в базу. Другого входа не вижу. Ну и последнее делайте бекапы

@vovella · 06.03.2011, 12:17

[QUOTE=nepster;1424167]1) всегда делайте бекапы

бекап естественно есть. 20 мб файл... Смекалки не хватило хранить всё по частям. Очень долго искать нужную часть с нужной таблицей - подвисает комп.

Ну что ж - выход обязательно найдётся. Всем спасибо за внимание.

Новые блоги и статьи Все статьи Все блоги /
Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Рецензия / Мнение/ Перевод https:/ / **********/ gallery/ thinkpad-x220-tablet-porn-gzoEAjs . . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .
От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .

@vovella 0 / 0 / 0 Регистрация: 11.05.2015 Сообщений: 11

	Прошу совета по устраненению следов sql-иньекции 05.03.2011, 14:36. Показов 849. Ответов 3 Метки нет (Все метки) Всем здравия. Я являюсь полуадмином одного из сайтов по спортивной тематике. Почему полуадмин? Да потому что я до конца ничего не знаю и не умею. Везде немного да по чуть-чуть. Всегда находится то, с чем я не знаю как справиться. Друзей программистов у меня нет и совета спросить не у кого. Суть проблемы: долгое время сайт находился на старом движке с кучей багов. С ростом популярности к сайту стали проявлять интерес разного рода взломщики да спамеры. Но всё как-то по мелочи. А вот в последнее время появился умелец и вставил во все новости код типа <script ссылка></script>. Новостей у меня 3000. Попытался написать код для очистки, да вот незадача - в тексте новостей огромная куча спецсимволов. Сперва я заменял их обработкой в пхп, но после 10 символа понял что это может длиться бесконечно. Естественно я пользовался stripslashes и тому подобными функциями, но это капля в море. Прошу совета: каким способом можно быстро и безболезненно избавиться от привитого кода. Есть ли универсальная функция для решения моего вопроса? 0

@panicwassano 601 / 569 / 104 Регистрация: 07.11.2010 Сообщений: 2,004
	05.03.2011, 16:03
	эм а причем тут sql-иньекции? мне кажется это xss атаки 1

@nepster 61 / 61 / 11 Регистрация: 19.09.2009 Сообщений: 844
	05.03.2011, 21:49
	1) всегда делайте бекапы 2) всегда делайте бекапы и храните их как на сервере так и у себя на локальной машине 3) всегда делайте бекапы, что бы они были у вас перед глазами. Был в похожей ситуации, но новостей было под 100, так что руками за час справился. Решение как такового не знаю, но можно написать скрипт который скажем выведит все поля новостей ------------- новость 1 ------------- новость 2 ------------- новость 3 ------------- Далее с помощью регулярного выражения заменить <script></script> на '' (тоесть удалить), вывести это все на экран в виде sql и экспортировать обратно в базу. Другого входа не вижу. Ну и последнее делайте бекапы 1

@vovella 0 / 0 / 0 Регистрация: 11.05.2015 Сообщений: 11
	06.03.2011, 12:17
	[QUOTE=nepster;1424167]1) всегда делайте бекапы бекап естественно есть. 20 мб файл... Смекалки не хватило хранить всё по частям. Очень долго искать нужную часть с нужной таблицей - подвисает комп. Ну что ж - выход обязательно найдётся. Всем спасибо за внимание. 0