Har tyvärr råkat ut för en SQL-injection attack på en site, så snart mitt webhotell bara behagar läsa tillbaka SQL-backupen så löses problemet :-)

Men funderingen som uppstår varför har inte leverantören installerat skydd mot detta, finns flera bra och gratis för Windows IIS (som är aktuellt i detta fall). Om inte min leverantör gör detta kommer siten åter drabbas inom bara någon dag.

Vet någon hur olika webhotell hanterar denna typ av skydd, är det normalt att inte försöka skydda sina kunder mot en ganska vedertagen metod?

En som fått sommar dvalan något störd.

En dum fråga, varför ska webbhotellet lägga in skydd mot SQL-injektion? Det är väl ändå kodknackarens ansvar att se till att SQL-injektion inte tillåts.

Givetvis så ska programmeraren se till att webbapplikationen inte kan SQL-injectas, och inte webbhotellet.

Borde inte mod_security kunna användas för att upptäcka SQL injektioner genom att spana efter SQL i GET?

Tex filtrera på apostrof:
SecFilter "'"

Webbhotellen skyddar givetvis inte mot felaktig kod... Ska de skydda alla användare mot deras egna misstag så kommer prestandan att sjunka vilket inte gynnar någon. Du bör täppa till hålen i din kod så att det inte händer igen.

Får också hålla med övriga talare om att det inte är webbhotellets uppgift att se till att din kod är säker.

Jag tycker att det ligger ett solidariskt ansvar hos användarna att inte exploita sårbar kod! ;)

Det borde ligga i webbhotellets intresse att se till att personer som vill gör allsköns bus får begränsade möjligheter, speciellt som det kan göras utan några större kostnader eller är särskilt tidskrävande.

Att inte göra det är som att inte sätta lås på dörrarna i ett hyreshus utan låta hyresgästerna se till att ingen utomstående gör inbrott på eget bevåg...

Mortekai, det är väl snarare att ha en dörrvakt som inte släpper in personer efter vissa kriterier. Skydd mot SQL-injektioner bygger på ett filter där t.ex. DECLARE filtreras bort. Det skulle då kunna innebära att en sida som heter declareyourself.html inte skulle tillåtas osv. Nej, jag håller på att det är kodknackarens ansvar om man använder ett webbhotell. Kör man däremot en egen server, vps eller hårdvara, så är filter en god idé då man själv har kontroll på vad som filtreras.

Märklig jämförelse... Dessutom kanske man vill kunna använda SQL injections och andra metoder för att testa sin sajt.

Tycker också att det är lite märklig jämförelse. Att inte ha lås i hyreshysen skulle väl snarare i så fall bäst liknas med om webbhotellet inte hade erbjudit kunderna att ha lösenord för att komma åt kontona.

I det här fallet har man ju (så vitt jag kan gissa) lösenordskyddade inloggningar på webbhotellet. Så i så fall är väl en mer korrekt liknelse att man i hyreshuset har lås på dörrarna, men att det blir upp till hyresgästerna att inte lämna fönstren på vid gavel så att inbrottstjuvar kan klättra in den vägen.

Det går visserligen att skydda med mod_security och liknande, men de skydden blir sällan heltäckande, förstör ibland normal funktionalitet och man kan aldrig veta om det system man befinner sig på just nu har alla regler man är beroende av både nu och i framtiden.

Bättre isåfall att göra applikationen säker från början.

Du borde för övrigt snarast se till att:

1) säkra din kod för att undvika semesterbekymmer i fortsättningen

2) se till att även ha en egen SQL-backup