因此,我正在为我的网站构建一个GUI管理区域。我将是唯一一个登录,它会显示从我的数据库干净(可打印)的信息布局。保护我的网站管理区域
这是我在做的安全。如果你认为这很好,我可以改进,请告诉我。在所有页面
- 头检查
admin == true
或死亡/重定向 - ,因为我家里有一个专用的IP,我只会从家里登录。我做了所有页面,包括登录表单页面检查我的IP
$_SERVER['REMOTE_ADDR'];
!=标题重定向 - 我的登录脚本在
dir
集700
在文件夹权限。 - 我的登录名和密码包含10个字母,数字和特殊字符组合。 PW为
regex
- 我的登录脚本检查之前
sql
存储为SHA2 HASH和我的凭据存储在一个单独的管理表 - 整个网站的SSL。
那么这是安全的吗?我可以做更多吗?这是否过分矫枉过正?请分享您的意见和建议(特别是关于我的IP检查可以在被规避?)
用来逃避糟糕的数据 - 在每场连同regex
function escape_data ($data) {
if (function_exists(‘mysql_real_escape_string’)) {
global $dbc;
$data = mysql_real_escape_string (trim($data), $dbc);
$data = strip_tags($data);
} else {
$data = mysql_escape_string (trim($data));
$data = strip_tags($data);
}
return $data;
}
在显示数据之前,您是否正确地转义了数据库数据?如果您有XSS漏洞,所有这些好的安全性都是毫无价值的。 – 2012-07-23 21:37:28
你在#1上的含义是什么?这是如何发送的。 #5使得它听起来像您有可能想要研究的SQL注入问题。 – Cfreak 2012-07-23 21:38:06
是以纯文本形式存储的密码吗? – colonelclick 2012-07-23 21:41:45