数据库注入备忘！！！

今天数据库又被注入了。。。我%……——#￥%……**）——￥%——*
搞了一上午，终于把数据库还原了过来。。。真不知道对方是怎么注入的，无意中听同事说了一句，以前另一个同事说插入数据也可以用十六进制插入的，加上之前我看过一篇文章也是在构造SQL注入语句的时候有一大堆乱78糟的字符的。。自己试了一下，果然是可以用十六进制来插入数据。。如下：
这是普通的插入数据的SQL语句：

declare @str varchar(100)
set @str='<script>alert(123)</script>'
update tb_product set proName=proName+@str where proID = 35

这是采用十六进制插入数据的SQL语句：

declare @str varchar(100)
set @str=0x3C7363726970743E616C65727428313233293C2F7363726970743E
update tb_product set proName=proName+@str where proID = 54

以上SQL语句都可以执行，执行过后都是在proname字段的后头加上<script>alert(123)</script>

0x3C7363726970743E616C65727428313233293C2F7363726970743E是怎么来的呢？0x是十六进制的开头前缀，后面一大乱字母才是<script>alert(123)</script>，我们可用些可以查看十六进制的文本编辑器来转换，如UltraEdit等，如图：



把中间的那些字母间的空格去掉就可以了！！！

我在做该项目的时候插入数据时我没把相应的HTML代码去掉，只是在取出的时候把HTML代码去掉了。不过只限于论坛，唉，还得把页面所有的输出全都要把HTML代码去掉才行。