[lesoft02]

Har tyvärr råkat ut för en SQL-injection attack på en site, så snart mitt webhotell bara behagar läsa tillbaka SQL-backupen så löses problemet :-)

Men funderingen som uppstår varför har inte leverantören installerat skydd mot detta, finns flera bra och gratis för Windows IIS (som är aktuellt i detta fall). Om inte min leverantör gör detta kommer siten åter drabbas inom bara någon dag.

Vet någon hur olika webhotell hanterar denna typ av skydd, är det normalt att inte försöka skydda sina kunder mot en ganska vedertagen metod?

En som fått sommar dvalan något störd.

[Westman]

En dum fråga, varför ska webbhotellet lägga in skydd mot SQL-injektion? Det är väl ändå kodknackarens ansvar att se till att SQL-injektion inte tillåts.

[eliasson]

Givetvis så ska programmeraren se till att webbapplikationen inte kan SQL-injectas, och inte webbhotellet.

[Weaver]

Borde inte mod_security kunna användas för att upptäcka SQL injektioner genom att spana efter SQL i GET?

Tex filtrera på apostrof:
SecFilter "'"

[tartareandesire]

Webbhotellen skyddar givetvis inte mot felaktig kod... Ska de skydda alla användare mot deras egna misstag så kommer prestandan att sjunka vilket inte gynnar någon. Du bör täppa till hålen i din kod så att det inte händer igen.

[al'Thor]

Får också hålla med övriga talare om att det inte är webbhotellets uppgift att se till att din kod är säker.

[victor-]

Jag tycker att det ligger ett solidariskt ansvar hos användarna att inte exploita sårbar kod!

[Mortekai]

Det borde ligga i webbhotellets intresse att se till att personer som vill gör allsköns bus får begränsade möjligheter, speciellt som det kan göras utan några större kostnader eller är särskilt tidskrävande.

Att inte göra det är som att inte sätta lås på dörrarna i ett hyreshus utan låta hyresgästerna se till att ingen utomstående gör inbrott på eget bevåg...

[Westman]

Mortekai, det är väl snarare att ha en dörrvakt som inte släpper in personer efter vissa kriterier. Skydd mot SQL-injektioner bygger på ett filter där t.ex. DECLARE filtreras bort. Det skulle då kunna innebära att en sida som heter declareyourself.html inte skulle tillåtas osv. Nej, jag håller på att det är kodknackarens ansvar om man använder ett webbhotell. Kör man däremot en egen server, vps eller hårdvara, så är filter en god idé då man själv har kontroll på vad som filtreras.

[tartareandesire]

Citat:

Originally posted by Mortekai@Jul 6 2008, 02:22
Det borde ligga i webbhotellets intresse att se till att personer som vill gör allsköns bus får begränsade möjligheter, speciellt som det kan göras utan några större kostnader eller är särskilt tidskrävande.
Att inte göra det är som att inte sätta lås på dörrarna i ett hyreshus utan låta hyresgästerna se till att ingen utomstående gör inbrott på eget bevåg...

Märklig jämförelse... Dessutom kanske man vill kunna använda SQL injections och andra metoder för att testa sin sajt.