Jump to content
Sign in to follow this  
skyline72

Bannato per uso di comando mysql UNION su hosting condiviso ?

Recommended Posts

La testa di Alessandro è salva, infatti funge ! :) http://www.certificates-analysis.com/files/test_union.php

 

c.v.d. :)

 

Tornando al problema, dato che sembra siano abbastanza riluttanti ad inserire il tuo dominio in whitelist, non riesci ad aggirare il problema creando una vista ed usando successivamente una semplice select?

 

Non ho idea di come costruisci la query, ma una vista del tipo:

 

idchart | data | valore

 

non potrebbe andarti bene? :)

Share this post


Link to post
Share on other sites
c.v.d. :)

 

Tornando al problema, dato che sembra siano abbastanza riluttanti ad inserire il tuo dominio in whitelist, non riesci ad aggirare il problema creando una vista ed usando successivamente una semplice select?

 

Non ho idea di come costruisci la query, ma una vista del tipo:

 

idchart | data | valore

 

non potrebbe andarti bene? :)

 

Mmm ci avevo pensato ma non credo possa andare bene, mi serve proprio la union perchè mi serve che il result set sia qualcosa del tipo :

 

Data , Valore1 , Valore2 , Valore3, Valore4

2011-01-01 , 1000 , NULL , NULL , NULL

2011-01-02 , 1001 , NULL, NULL, NULL

...

...

2011-08-11 , 2000 , 1200 , 1300, 1400

 

cioè mi serve che nel result set mi faccia vedere tutti i valori della colonna Valore1 anche se nelle altre non è presente niente (NULL), altrimenti poi i grafici non vengono fuori correttamente.

Fra l'altro utilizzare la sproc è molto meglio nel mio caso perchè la manutenzione è più semplice , spesso infatti devo modificare la query e mi tocca rientrare e cambiarla su tutti gli articoli, con la sproc farei una modifica unica lato server e sarei a posto ;)

Adesso sono riuscito con un piccolo script php a farmi restituire i dati dalla sproc http://www.certificates-analysis.com/files/Test_StoredProc2.php solo che mi sa che devo andare a modificare il componente per fargli digerire sta cosa (e non sono assolutamente un esperto di php), vabè ce provo ! ;)

Grazie per l'aiuto cmq ! :)

Share this post


Link to post
Share on other sites
Come pensavo, comunque col consiglio di Antonio dovresti risolvere senza dover cambiare hosting :)

 

Si beh diciamo che è un'aggiramento del problema, il fatto è che rimango sempre con la paura che se scrivo qualche cosa che a loro non piace in un semplice articolo questi mi bannano, chissà infatti su cos'altro hanno messo controlli ! :(

Share this post


Link to post
Share on other sites
Si beh diciamo che è un'aggiramento del problema, il fatto è che rimango sempre con la paura che se scrivo qualche cosa che a loro non piace in un semplice articolo questi mi bannano, chissà infatti su cos'altro hanno messo controlli ! :(

 

Beh, pensa in positivo: se volevi mettere su un sito con articoli relativi ad SQL avresti chiuso prima di iniziare, dato che al minimo esempio scritto in un articolo venivi bannato :D

Share this post


Link to post
Share on other sites
Beh, pensa in positivo: se volevi mettere su un sito con articoli relativi ad SQL avresti chiuso prima di iniziare, dato che al minimo esempio scritto in un articolo venivi bannato :D

 

ahahah e magari gli esempi erano tutti sull'uso della union :D

Cmq scherzi a parte converrai con me che non è modo di fornire un servizio senza sapere a priori che adottano questa politica così restrittiva, cioè un pò ti girano le palle quando poi ti accorgi che non puoi fare semplici operazioni.

Share this post


Link to post
Share on other sites
ahahah e magari gli esempi erano tutti sull'uso della union :D

 

Pensa a cosa non poteva accaderti se postavi un articolo sul SQL injection facendo diversi esempi a base di union, query commentate et similia :D

 

Cmq scherzi a parte converrai con me che non è modo di fornire un servizio senza sapere a priori che adottano questa politica così restrittiva, cioè un pò ti girano le palle quando poi ti accorgi che non puoi fare semplici operazioni.

 

Solitamente quando si usa mod security si da la possibilità ad un cliente, sotto esplicita richiesta, di disabilitare mod security per il proprio dominio o, se è possibile, di disabilitare solo la regola che non viene digerita dal sito e genera un falso positivo.

 

Mod Security dovrebbe essere una feature, non usa rottura di scatole per i clienti; anche perché se sfruttando un'altra vulnerabilità di joomla riescono a diventare admin o comunque a far danno, non è di certo il provider il responsabile, visto che non hanno bucato il server.

 

EDIT

Fai questa prova: inserisci in un htaccess presente nella root del sito

SecFilterEngine Off

SecAuditEngine Off

 

Poi fai una prova e vedi se ti bannano in automatico nuovamente.

Edited by Antonio

Share this post


Link to post
Share on other sites
Pensa a cosa non poteva accaderti se postavi un articolo sul SQL injection facendo diversi esempi a base di union, query commentate et similia :D

 

 

 

Solitamente quando si usa mod security si da la possibilità ad un cliente, sotto esplicita richiesta, di disabilitare mod security per il proprio dominio o, se è possibile, di disabilitare solo la regola che non viene digerita dal sito e genera un falso positivo.

 

Mod Security dovrebbe essere una feature, non usa rottura di scatole per i clienti; anche perché se sfruttando un'altra vulnerabilità di joomla riescono a diventare admin o comunque a far danno, non è di certo il provider il responsabile, visto che non hanno bucato il server.

 

EDIT

Fai questa prova: inserisci in un htaccess presente nella root del sito

 

 

Poi fai una prova e vedi se ti bannano in automatico nuovamente.

 

Però l'assistenza parlava di blocco a livello di firewall non di mod_security di apache, altrimenti scusa non mi avrebbero potuto semplicemente dire di disabilitarlo come hai fatto tu ?

Fra l'altro quando vengo bannato non accedo più a nessun sito hostato su joomlahost non solo sul mio dominio, questo mi fa pensare a qualcosa che sta a monte di tutto, no ?

Cmq provo , speriamo bene ! :)

Share this post


Link to post
Share on other sites

Mmm non so se ho fatto correttamente, ho provato a mettere quei due comandi all'inizio di .htaccess, ma il sito è andato giù completamente con questi errori :

 

The server encountered an internal error or misconfiguration and was unable to complete your request.

 

Please contact the server administrator, webmaster@certificates-analysis.com and inform them of the time the error occurred, and anything you might have done that may have caused the error.

 

More information about this error may be available in the server error log.

 

Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request.

 

forse ho sbagliato posizione dove mettere le istruzioni ?

Share this post


Link to post
Share on other sites
Mmm non so se ho fatto correttamente, ho provato a mettere quei due comandi all'inizio di .htaccess, ma il sito è andato giù completamente con questi errori :

 

The server encountered an internal error or misconfiguration and was unable to complete your request.

 

Please contact the server administrator, webmaster@certificates-analysis.com and inform them of the time the error occurred, and anything you might have done that may have caused the error.

 

More information about this error may be available in the server error log.

 

Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request.

 

forse ho sbagliato posizione dove mettere le istruzioni ?

 

Ok, niente da fare, useranno mod_security2, che non permette più di usare quelle 2 righe per disabilitare i controlli da htaccess oppure un vero e proprio fw SPI.

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×