【发布时间】:2013-03-28 06:03:11
【问题描述】:
几周前,我决定学习 PHP 并从头开始制作博客。大多数功能都已完成,所以现在我正在关注安全性,特别是管理区域。就目前而言,在这个管理区域中,我将管理(数据库)内容。我一直在阅读许多有关安全性的文章,例如:
The definitive guide to form-based website authentication
http://www.wikihow.com/Create-a-Secure-Login-Script-in-PHP-and-MySQL
http://www.wikihow.com/Create-a-Secure-Session-Managment-System-in-PHP-and-MySQL
What are best practices for securing the admin section of a website?
Admin section for website - security?
securing my admin page that accesses several php files
还有一堆关于 SSL 的 Google 文章
基本上,我只是无法准确理解我在管理登录页面和管理区域方面需要多少安全性。共识似乎是我应该使用 SSL,但这对我来说似乎有点矫枉过正,因为这是一个最初只有 0 个访问者的全新网站。
此外,我现在开始问为什么我什至需要一个管理区域。如果我是唯一一个运营博客的人,为什么我不能只管理来自 phpmyadmin 的内容?如果没有管理区域(并且不需要用户注册发布 cmets),我不需要任何 SSL。不会有任何敏感信息的共享。在这种情况下,甚至没有管理部分会不会让我的生活更轻松?
所以澄清一下,我只是想了解对于一个由单一管理员操作网站的全新网站以及该网站是否有管理员登录页面和管理员登录区域的全新网站,适当的安全保护级别是多少。显然,我将采取措施防止 SQL 注入和暴力攻击,但保护敏感数据(如管理员密码)的适当措施是什么?提前感谢您的帮助!
【问题讨论】:
-
我个人唯一要补充的是密码的一个很好的哈希方法。但是这个问题对于 SO 来说似乎太模糊了,请参阅faq
-
懒惰,如果 phpmyadmin 适合你,就使用它。
-
是的,你的生活显然更容易不用管理界面,而是通过直接在 phpmyadmin 中运行 sql 语句来更新任何动态内容。因此,您需要问自己的第一个问题是您是否要继续这样做,或者您是否正在尝试学习如何走得更远。如果您决定更进一步,请访问 security.stackexchange.com 询问一般安全问题或在这里询问具体实施问题。