O comando SQL a seguir mapeia a existência de um padrão de código HTML na descrição do recurso do tipo questionário (quiz):
SELECT * FROM mdl_quiz WHERE intro LIKE '%<script src=%'
A coluna intro é utilizada para armazenar a descrição e o enunciado dos recursos e atividades. Cada plugin do Moodle possui uma tabela específica com essa coluna, responsável por armazenar essas informações.
Para aplicar essa verificação a outros plugins, basta alterar o nome da tabela para o nome técnico correspondente. Por exemplo, para o plugin fórum, o comando SQL seria:
SELECT * FROM mdl_forum WHERE intro LIKE '%<script src=%'
A mesma lógica pode ser aplicada aos demais plugins, como page, folder, url, entre outros, sempre utilizando o nome técnico do plugin e a coluna adequada, geralmente intro, onde o conteúdo HTML é armazenado.
Além da coluna intro, é possível que outros campos de texto longo (como content, message, summary, entre outros) também armazenem conteúdo HTML. Para rastrear possíveis inserções de código malicioso em diferentes plugins, recomenda-se analisar o layout de cada tabela individualmente, identificando todas as colunas do tipo longtext ou similares que possam conter HTML. Dessa forma, a verificação pode ser expandida para cobrir uma maior variedade de pontos vulneráveis no sistema.