WN
Sidan 1 av 2 1 2
Visa 40 inlägg från det här ämnet på en sida

WN (https://www.wn.se/forum/index.php)
-   Webbhotell (https://www.wn.se/forum/forumdisplay.php?f=13)
-   -   SQL-injection (https://www.wn.se/forum/showthread.php?t=30330)

lesoft02 2008-07-05 20:14
Har tyvärr råkat ut för en SQL-injection attack på en site, så snart mitt webhotell bara behagar läsa tillbaka SQL-backupen så löses problemet :-)

Men funderingen som uppstår varför har inte leverantören installerat skydd mot detta, finns flera bra och gratis för Windows IIS (som är aktuellt i detta fall). Om inte min leverantör gör detta kommer siten åter drabbas inom bara någon dag.

Vet någon hur olika webhotell hanterar denna typ av skydd, är det normalt att inte försöka skydda sina kunder mot en ganska vedertagen metod?

En som fått sommar dvalan något störd.

Westman 2008-07-05 20:39
En dum fråga, varför ska webbhotellet lägga in skydd mot SQL-injektion? Det är väl ändå kodknackarens ansvar att se till att SQL-injektion inte tillåts.

eliasson 2008-07-05 21:09
Givetvis så ska programmeraren se till att webbapplikationen inte kan SQL-injectas, och inte webbhotellet.

Weaver 2008-07-05 22:38
Borde inte mod_security kunna användas för att upptäcka SQL injektioner genom att spana efter SQL i GET?

Tex filtrera på apostrof:
SecFilter "'"

tartareandesire 2008-07-05 22:59
Webbhotellen skyddar givetvis inte mot felaktig kod... Ska de skydda alla användare mot deras egna misstag så kommer prestandan att sjunka vilket inte gynnar någon. Du bör täppa till hålen i din kod så att det inte händer igen.

al'Thor 2008-07-05 23:04
Får också hålla med övriga talare om att det inte är webbhotellets uppgift att se till att din kod är säker.

victor- 2008-07-06 01:07
Jag tycker att det ligger ett solidariskt ansvar hos användarna att inte exploita sårbar kod! ;)

Mortekai 2008-07-06 02:22
Det borde ligga i webbhotellets intresse att se till att personer som vill gör allsköns bus får begränsade möjligheter, speciellt som det kan göras utan några större kostnader eller är särskilt tidskrävande.

Att inte göra det är som att inte sätta lås på dörrarna i ett hyreshus utan låta hyresgästerna se till att ingen utomstående gör inbrott på eget bevåg...

Westman 2008-07-06 08:13
Mortekai, det är väl snarare att ha en dörrvakt som inte släpper in personer efter vissa kriterier. Skydd mot SQL-injektioner bygger på ett filter där t.ex. DECLARE filtreras bort. Det skulle då kunna innebära att en sida som heter declareyourself.html inte skulle tillåtas osv. Nej, jag håller på att det är kodknackarens ansvar om man använder ett webbhotell. Kör man däremot en egen server, vps eller hårdvara, så är filter en god idé då man själv har kontroll på vad som filtreras.

tartareandesire 2008-07-06 11:27
Citat:
Originally posted by Mortekai@Jul 6 2008, 02:22
Det borde ligga i webbhotellets intresse att se till att personer som vill gör allsköns bus får begränsade möjligheter, speciellt som det kan göras utan några större kostnader eller är särskilt tidskrävande.
Att inte göra det är som att inte sätta lås på dörrarna i ett hyreshus utan låta hyresgästerna se till att ingen utomstående gör inbrott på eget bevåg...
Märklig jämförelse... Dessutom kanske man vill kunna använda SQL injections och andra metoder för att testa sin sajt.


Alla tider är GMT +2. Klockan är nu 08:11.
Sidan 1 av 2 1 2
Visa 40 inlägg från det här ämnet på en sida

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson