Bannato per uso di comando mysql UNION su hosting condiviso ?

[skyline72]

Salve a tutti,
sto avendo non pochi grattacapi con un hosting perchè vengo bannato per aver utilizzato in una query il comando UNION che a loro dire non viene usato in Joomla (il sito è realizzato con questo CMS) , e io mi ritrovo a non poter sfruttare e personalizzare il sito come più mi serve per le loro policy di sicurezza così restrittive. Ma funziona così su tutti gli hosting web condivisi ?
Stavo pensando visto che già pago un server dedicato su windows , secondo voi è troppo incasinato metterci su una virtual machine tipo wmware e farci girare un linux per hostarci il sito così ho la liberta e posso farci il cacchio che voglio ?

grazie
Saluti

[Antonio]

Ma lol, chi è l'hoster in oggetto?

Non è una cosa tanto normale avere un filtro così restrittivo.

[xAnder]

Già che c'è potrebbe anche bloccarti le Join.
Se paghi un server windows puoi provare a farci girare il CMS li sopra!

[skyline72]

joomlahost
Ah ecco mi sembrava anche a me una cosa strana, io capisco perfettamente che la sicurezza è importante ma bannarmi perchè joomla non usa mai il comando UNION mi pare un pò troppo!
Ah ma la cosa più divertente è che quando vieni bannato , a parte che non accedi più a nessun sito hostato su joomlahost quindi bannato non so su quante migliaia di siti, ma non accedi neanche al loro sito di assistenza che è dietro lo stesso router/firewall e ovviamente accetta solo segnalazioni tramite ticket (niente telefono), quindi tocca riavviare il router per cambiarsi l'ip altrimenti nisba. Non oso immaginare chi ha un ip fisso cosa può fare, boh prende la macchina e va li a dirglielo a voce che è stato bannato!

[skyline72]

Già che c'è potrebbe anche bloccarti le Join.
Se paghi un server windows puoi provare a farci girare il CMS li sopra!

lol e magari anche le insidiosissime Select !!
Ma far girare direttamente joomla su windows la vedo dura, o c'è un modo semplice ? Magari mettendo uno xampp o roba similare ? Anche se xampp lo vedo più come un ambiente per testare siti non per metterli in produzione no ? E il dominio che ora mi punta su joomlahost come faccio a spostarlo al mio server dedicato ?

[Antonio]

XAMPP e simili non fanno altro che installarti apache, php, mysql; quindi cambia poco installare xampp o installarsi da soli i vari apache, php & Co; il difficile sta nel saper configurare correttamente tutto ed eseguire un buon hardening del server.

[skyline72]

XAMPP e simili non fanno altro che installarti apache, php, mysql; quindi cambia poco installare xampp o installarsi da soli i vari apache, php & Co; il difficile sta nel saper configurare correttamente tutto ed eseguire un buon hardening del server.

Beh si in realtà ho già installato su quel server uno xampp dove ci gira un piccolo forum phpbb3 e non ho mai avuto particolari problemi, boh devo pensarci su se fare questo passo per risolvere sto problema della pericolossissima UNION !

[Antonio]

Comunque qualsiasi altro hoster "normale" non ti fa questi problemi; inoltre è assurdo che bannino, avrebbero fatto prima a toglierti il permesso di usare UNION a livello di user mysql, bah.

[skyline72]

Comunque qualsiasi altro hoster "normale" non ti fa questi problemi; inoltre è assurdo che bannino, avrebbero fatto prima a toglierti il permesso di usare UNION a livello di user mysql, bah.

Questo mi rincuora , magari provo a cambiare hoster anche se ovviamente quelli di joomlahost non vogliono restituirmi i soldi del canone annuo perchè potevo farlo solo "prima dell'erogazione del servizio (e l'hosting è stato correttamente attivato e il servizio è correttamente erogato) 'il servizio è stato già erogato". E certo e io che cacchio ne sapevo che non potevo usare normali comandi standard sql prima di provare il servizio ?? Me lo sognavo la notte ? Mah
Cmq grazie per i consigli , mo vedo , se riesco a fregarli usando una stored procedure (se il componente joomla me lo permette) allora non tocco niente, altrimenti beh mi sa che cambio aria.

[usu]

Mi sembra veramente assurdo.
Ma non è che è qualche componente scritto male che fa apparire la query nel campo dell'url (e quindi nella richiesta get)? In quel caso può essere che un IDS banni l'IP pensando ad una sql injection, ma se invece è una semplice query eseguita dal cms rabbrividisco :S

[skyline72]

Mi sembra veramente assurdo.
Ma non è che è qualche componente scritto male che fa apparire la query nel campo dell'url (e quindi nella richiesta get)? In quel caso può essere che un IDS banni l'IP pensando ad una sql injection, ma se invece è una semplice query eseguita dal cms rabbrividisco :S

Mah può anche darsi che il componente invii la query in chiaro nell'url ma sinceramente non lo vedo essendo il tutto trasparente. In pratica io semplicemente scrivo la query sql (con la union) nell'articolo joomla e poi il componente ne fa il parse e la invia al db.

[guest]

inoltre è assurdo che bannino, avrebbero fatto prima a toglierti il permesso di usare UNION a livello di user mysql, bah.

E come fai? Non mi pare le UNION necessitino di permessi ad-hoc

[Antonio]

E come fai? Non mi pare le UNION necessitino di permessi ad-hoc

Ho controllato il manuale, serve necessariamente mysql proxy per parsare le query, effettivamente non è possibile bloccare UNION semplicemente tramite grant; il caldo

[guest]

Ho controllato il manuale, serve necessariamente mysql proxy per parsare le query, effettivamente non è possibile bloccare UNION semplicemente tramite grant; il caldo

Appunto, e mi pare che mysql proxy sia perennemente in beta e non sarebbe saggio usarlo in produzione.
Quindi se è vero che 2+2 fa 5, si fa prima a bloccare l'utente piuttosto che limitare le UNION. Ciò non toglie che resta una limitazione un po troppo selvaggia.

[GrG]

Ma, poi, perchè?

Una cosa è controllare le query con UNION perchè (specialmente con Joomla) sono quelle frequenti da injection, ma bloccare chiunque usi sta cosa è assurdo.

Perchè non bloccare anche LIMIT?