hat, most kiderult a median kodjarol, aztan meg nezzuk a legtobb opensource cms-t, mindegyiknek van "rendes", hosszu sec-history-ja... szoval szerintem jo megoldas a webszerver oldali tuzfal...
ha meg akarnak szivatni ugyis dosolnak, az ellen nem lehet vedekezni erdemben, a sql injection es admin session hijackingbol kifolyo deface-tol meg valamelyest megved a mod_sec.
persze a jo kodot semmi sem helyettesiti, de nem lehet mindent auditolni, amit felhasznalok toltenek fel egy atlagos webszerverre.
gondoljunk csak bele mik futhatnak a kulonbozo free tarhelyszolgaltatoknal es a tobbi...