Ne verujem, ako hoćeš pošalji mi kod da izvršim analizu i da ti kažem.
Ovako mi ne deluje, mada nemam vremena da probam blind sql injection.

Zaštiti direktorijum sa slikama i skriptama (kao i sve ostale direktorijume). Najbolje uz pomoć .htaccess.
Stavi Analytics kod pre zatvaranja html taga (nema veze sa pitanjem, ali deluje ružno).

Admin panel vodi ka nekom process.php koji ne postoji (lako se nalazi admin panel). Mislim da nema potrebe da koristiš multipart/form-data kod administratorske prijave.?

Skini par alatki za testiranje sajta (security). Npr:
http://sqlmap.org/
Havij

Aha, je l' mozes samo da mi pojasnis kako da zastitim slike preko htaccess-a, guglao sam, ali nisam nasao nista korisno...

u .htaccessu imam 2 linije koda, prva je komentar da sledecu liniju koda ne brisem u suprotnom mod_rewrite nece raditi,
a druga linija koda je ovo RewriteBase /

je l' sada mozda trebam samo dodati direktorijum koji zelim zastiti
RewriteBase / slike ?

Analytics code za sta to sluzi?

Hvala za alate :)

Napravi novi .htaccess fajl i dodaj npr ovaj kod:

.htaccess fajl stavi u direktorijum sa slikama, fajlovima, .js ...
U svaki dirketorijum stavi i index.html.

E hvala puno, stavio sam u svaki dir .htaccess sa tim kodom,

nisam te samo razumeo za index.html, je l' to treba da kreiram index.html(prazan?) u svaki dir ili da na root-u gde mi je index.php apendujem nove linije koda, one gore sto si ti naveo?

EDIT: Skapirao, stavio sam svuda prazan index.html sem admin folder :)

_{[Ovu poruku je menjao Boyka dana 15.12.2012. u 14:30 GMT+1]}

hmmm a kako da sprecim da kada neko ukuca

zid2proba.comlu.com/admin/php/process.php da mu se ne skida fajl na komp?

Nisam siguran da li hoće ovako, ali probaj da na samom početku process.php fajla dodaš i ovo

Izbaci onaj htaccess fajl iz foldera php

Kada to uradim onda index.php ne moze da komunicira sa php fajlovima gde postoji taj kod :/

Je l' vam nije problem da proverite sledece kodove, mislim da je sve ok i da je problem do hostinga, kontaktirao sam veratnet i rekli su mi da je kod njih normalno, ali da ce danas preko dana izvrsiti detaljni test sajta, vrlo je moguce da je moja IP adresa blokirana od strane servera, zato probajte vi da udjete ovde:
http://zid2.com/new/admin/index.php

da li vam otvara CPanel, ili vas preusmerava na protect.php, odnosno Login stranu?

kod koji koristim u index.php pre html-a je:

Pazite cudo, kada zamenim header('Location:protect.php'); sa echo 'Proba';
ispisuje se proba, sto znaci da sesija radi, ali header ne, kao da ne moze naci protect.php, a protect.php se nalazi u istom folderu gde i index.php, isti taj kod na besplatnom hostu http://zid2proba.comlu.com/admin/ radi savrseno

Sesija je ponistena logout(session_start();session_destroy()), probao na razlicitim browserima, ali isto...
A ovi iz hosta kazu da im otvara normalno, protect.php kad se udje na index.php

Ne bi trebalo da ne može da komunicira, jer to mu u prevodu znači da link mora da ima referera direktno sa hosta gde se nalazi skripta. Refering url. Ako je refering url sa istog hosta, nema redirekcije.
Dakle, kada staviš tako nešto, to znači da bookmark, jok. Neće da šljaka. Ručno kucana lokacija koja ukazuje na tu i tu stranicu, jok. Redirekcija i u tom slučaju.

Jedan od mogućih razloga za tako nešto (ne može da komunicira sa php fajlovima) jeste to što sam loše ispisao primer (sad sam i primetio), nisam zatvorio zagradu, fali još jedna na kraju, a na serveru warning i notice - OFF.

Zanimljivo je kako se sada uz .htaccess pojavljuje 403 u fajlovima gde je bitno(tj radi posao), a ranije je skidao fajl?
Ja mislim da mene ozbiljno server zeza, evo dobio sam potvrdu da kod drugih IP adresa admin CMS sesija normalno radi, a kod mene ne.



Komunicira :), samo sto nema svrhu da to ubacujem u glavni root, jer bi nesto radilo (redirect), pa onda obicnim posetiocima bi trazio recimo login(ako bi ga ja preusmerio tako), ali za administratorske fajlove dusu dalo :)))

Hvala svima, sta ga vas i ima :)