alexzpua

примерно так и организована работа шлюзов на 99% магазинов
зы. <? лучше не писать, а использовать правильное <?php

if($totalItems >= 1000) пробовали менять на if($totalItems >= 1000.0) ?

Или даже лучше разницу флоатов проверить, и с погрешностью сравнить.

Вообще лучше бы свалить к другому хостеру =) Который не страдает такой фигней.

А по сабжу - проверить, что админы не имеют доступа к машине (нет лишних ssh-ключей, сменен пароль). Убрать прокси за iptables.
Ну и проверить, что у вас вообще Xen, а не openvz. Снаружи виртуалки Xen админ не должен видеть, что у вас в ней запущено. Только по ssh/сканированием по сети.

Впрочем, это не отменяет того, что администратор VPS всегда может выключить вашу виртуалку и получить доступ к её файлам. А на чтение - так и вообще без выключения.

Blind означает лишь то, что результат инъекции не отображается на странице. При этом всё равно существуют методы, позволяющие при удаче авторизоваться не зная пароля, например такой конструкцией:

http://my.site/login.php?name=user' OR TRUE OR '1'='1&password=

Если запрос на авторизацию к базе выглядит так:

"WHERE `user` = '".$_GET['name']}."' AND `pass` = '".md5($_GET['password'])."'"

то он преобразуется в

WHERE `user` = 'user' OR TRUE OR '1'='1' AND `pass` = 'd41d8cd98f00b204e9800998ecf8427e'

результат вычисления будет TRUE для любого пользователя и пароля.
Кроме того, можно разрушить саму базу, выдав команды DROP TABLE или DROP DATABASE