Cercare un valore in tutte le righe/colonne di un database in SQL SERVER

A tutti quelli che lavorano su database è capitato, almeno una volta nella vita, di dover cercare un certo valore (stringa o altro) presente in un qualche punto del db.

Nel mio caso specifico, una web application pubblicata sul web è stata attaccata con SQL-injection e ci siamo ritrovati con migliaia (20.000-30.000) di righe del db (repository di un CM) sporcate con javascript malevolo.

La prima, istantanea soluzione è stata quella di mettere offline l'applicazione; per ripulirla, invece, dal malware, ho usato una stored procedure pubblicata a questo indirizzo http://vyaskn.tripod.com/search_all_columns_in_all_tables.htm da Narayana Vyas Kondreddi al quale va la mia riconoscenza... : - )

.

In sostanza, creata la SP, è possibile indicare il valore da ricercare all'interno del db e... attendere.
Sempre dello stesso autore, anche una SP per trovare e sostituire valori http://vyaskn.tripod.com/sql_server_search_and_replace.htm .

Per vostra comodità riporto il codice per la creazione della stored procedure.

CREATE PROC SearchAllTables
(
    @SearchStr nvarchar(100)
)
AS
BEGIN

    -- Copyright © 2002 Narayana Vyas Kondreddi. All rights reserved.
    -- Purpose: To search all columns of all tables for a given search string
    -- Written by: Narayana Vyas Kondreddi
    -- Site: http://vyaskn.tripod.com
    -- Tested on: SQL Server 7.0 and SQL Server 2000 (anche SQL Server 2005 da me)
    -- Date modified: 28th July 2002 22:50 GMT

    CREATE TABLE #Results (ColumnName nvarchar(370), ColumnValue nvarchar(3630))

    SET NOCOUNT ON

    DECLARE @TableName nvarchar(256), @ColumnName nvarchar(128), @SearchStr2 nvarchar(110)
    SET @TableName = ''
    SET @SearchStr2 = QUOTENAME('%' + @SearchStr + '%','''')

    WHILE @TableName IS NOT NULL
    BEGIN
        SET @ColumnName = ''
        SET @TableName =
        (
            SELECT MIN(QUOTENAME(TABLE_SCHEMA) + '.' + QUOTENAME(TABLE_NAME))
            FROM     INFORMATION_SCHEMA.TABLES
            WHERE         TABLE_TYPE = 'BASE TABLE'
                AND    QUOTENAME(TABLE_SCHEMA) + '.' + QUOTENAME(TABLE_NAME) > @TableName
                AND    OBJECTPROPERTY(
                        OBJECT_ID(
                            QUOTENAME(TABLE_SCHEMA) + '.' + QUOTENAME(TABLE_NAME)
                            ), 'IsMSShipped'
                               ) = 0
        )

        WHILE (@TableName IS NOT NULL) AND (@ColumnName IS NOT NULL)
        BEGIN
            SET @ColumnName =
            (
                SELECT MIN(QUOTENAME(COLUMN_NAME))
                FROM     INFORMATION_SCHEMA.COLUMNS
                WHERE         TABLE_SCHEMA    = PARSENAME(@TableName, 2)
                    AND    TABLE_NAME    = PARSENAME(@TableName, 1)
                    AND    DATA_TYPE IN ('char', 'varchar', 'nchar', 'nvarchar')
                    AND    QUOTENAME(COLUMN_NAME) > @ColumnName
            )

            IF @ColumnName IS NOT NULL
            BEGIN
                INSERT INTO #Results
                EXEC
                (
                    'SELECT ''' + @TableName + '.' + @ColumnName + ''', LEFT(' + @ColumnName + ', 3630)
                    FROM ' + @TableName + ' (NOLOCK) ' +
                    ' WHERE ' + @ColumnName + ' LIKE ' + @SearchStr2
                )
            END
        END
    END

    SELECT ColumnName, ColumnValue FROM #Results
END

Chiudo con un ringraziamento:
Dear Narayana many thanks!