http://www.batlab.net/blog/?p=367
雖然公司主要是使用 O 社的資料庫,但還是有 M$ 社的殘黨,今天看到 DBA 同事給我看的信,兩週前 Mass Sql Injection 的問題現在才傳到他那邊,希望能夠協助檢查公司的 M$-Sql 有沒有被波及到,估且不論這個事情處理的效率如何,在網路上找到了一個不錯的解可以用來檢查資料庫所有 Table 的所有 Field 有沒有包含某個特殊關鍵字。 為了怕原始網站不見所以弄了個縮圖來,但還是註明出處避免問題。原作網站上還有很多關於 Sql 的資料可以去看看。 http://vyaskn.tripod.com/
CREATE PROC SearchAllTables ( @SearchStr nvarchar(100) ) AS BEGIN -- Copyright c 2002 Narayana Vyas Kondreddi. All rights reserved. -- Purpose: To search all columns of all tables for a given search string -- Written by: Narayana Vyas Kondreddi -- Site: http://vyaskn.tripod.com -- Tested on: SQL Server 7.0 and SQL Server 2000 -- Date modified: 28th July 2002 22:50 GMT CREATE TABLE #Results (ColumnName nvarchar(370), ColumnValue nvarchar(3630)) SET NOCOUNT ON DECLARE @TableName nvarchar(256), @ColumnName nvarchar(128), @SearchStr2 nvarchar(110) SET @TableName = '' SET @SearchStr2 = QUOTENAME('%' + @SearchStr + '%','''') WHILE @TableName IS NOT NULL BEGIN SET @ColumnName = '' SET @TableName = ( SELECT MIN(QUOTENAME(TABLE_SCHEMA) + '.
