因此,我正在爲我的網站構建一個GUI管理區域。我將是唯一一個登錄,它會顯示從我的數據庫乾淨(可打印)的信息佈局。保護我的網站管理區域
這是我在做的安全。如果你認爲這很好,我可以改進,請告訴我。在所有頁面
- 頭檢查
admin == true
或死亡/重定向 - ,因爲我家裏有一個專用的IP,我只會從家裏登錄。我做了所有頁面,包括登錄表單頁面檢查我的IP
$_SERVER['REMOTE_ADDR'];
!=標題重定向 - 我的登錄腳本在
dir
集700
在文件夾權限。 - 我的登錄名和密碼包含10個字母,數字和特殊字符組合。 PW爲
regex
- 我的登錄腳本檢查之前
sql
存儲爲SHA2 HASH和我的憑據存儲在一個單獨的管理表 - 整個網站的SSL。
那麼這是安全的嗎?我可以做更多嗎?這是否過分矯枉過正?請分享您的意見和建議(特別是關於我的IP檢查可以在被規避?)
用來逃避糟糕的數據 - 在每場連同regex
function escape_data ($data) {
if (function_exists(‘mysql_real_escape_string’)) {
global $dbc;
$data = mysql_real_escape_string (trim($data), $dbc);
$data = strip_tags($data);
} else {
$data = mysql_escape_string (trim($data));
$data = strip_tags($data);
}
return $data;
}
在顯示數據之前,您是否正確地轉義了數據庫數據?如果您有XSS漏洞,所有這些好的安全性都是毫無價值的。 – 2012-07-23 21:37:28
你在#1上的含義是什麼?這是如何發送的。 #5使得它聽起來像您有可能想要研究的SQL注入問題。 – Cfreak 2012-07-23 21:38:06
是以純文本形式存儲的密碼嗎? – colonelclick 2012-07-23 21:41:45