본 프로그램은 SQL Injection에 피해받은 데이터베이스  복구모듈을 제공한다.

--사용법--

1. 현재데이터베이스를 손실에 대비하여 백업한다.

2. 연결문자열을 완성한후 연결버튼을 누른다.

3. 연결이 되면 테이블목록이 표시되고 선택한 테이블에 대한 필드가 리스트에 표시된다,

3. 해킹된 문자열을 입력한다.

4. 전체를 체크하면 전체테이블을 체크를 해제하면 현재선택한 테이블만 변경한다.한다.

5. 변환 실패테이블에 등록된 테이블은 별도 쿼리분석기등을 사용하여 개별 실행한다.

[참고]

백업한 데이터베이스가 있다면 본 프로그램을 사용하지 않아도 된다.
SQL Injection을 검색하면 다양한 복구방법을 찾을 수 있다.
첨부된 VB6KO.DLL을 c:\window\system32에 카피하면 VB가 없어도 실행할 수 있다.

본프로그램은 아래와 같은 이유로 100%변환을 보장하지 못한다.

본프로그램시작버튼로직은
필드명=replace(cast(필드명 as varchar(8000)),'<** src=http://webarty.com/s.js>','')
을 수행한다.(주의) 필드자료가 8000이 넘는경우 잘릴 수 있다.

실데이터   : 홍길동입니다.
해킹데이터 : 홍길동<** src=http://webarty.com/s.js>.
변환데이터 : 홍길동.

따라서 데이터손실은 감수해야 한다.
운이 좋아 아래와 같이 뒤에 해킹문자열이 붙는 경우는 변환은 성공일 것이다.

실데이터   : 홍길동입니다.
해킹데이터 : 홍길동입니다.<** src=http://webarty.com/s.js>
변환데이터 : 홍길동입니다.

SQL Injection은 예방이 최선이다.

[예방]
1. 최대한 stored procedure로 쿼리를 작성한다.
2. 소스내에 쿼리를 사용하면 넘겨온 파라메터를 모두 검증해야 한다.
3. 쿠키나 세션변수또한 검증해야 한다.

asp code
Function ConvertString(str as string)
 if str <> "" then
  str = replace(str,"'","")
  str = replace(str,";","")
  str = replace(str,"--","")
  str = replace(str,"#","")
  str = replace(str,"\\","")
  str = replace(str,"&","")
  str = replace(str,"<","")
  str = replace(str,">","")
  str = replace(str,"(","")
  str = replace(str,")","")
  str = replace(str,"=","")
 end if
 ConvertString = str
End Function

c# code
protected string ConvertString(string str)
{
        if (str == null) return null;

        str.Replace("'", "");
        str.Replace(";", "");
        str.Replace("--", "");
        str.Replace("#", "");
        str.Replace("\\", "");
        str.Replace("&", "");
        str.Replace("<", "");
        str.Replace(">", "");
        str.Replace("(", "");
        str.Replace(")", "");
        str.Replace("=", "");

        return str;
}