Доброго времени суток, решил написать движок для одного портала, при написание админки возник вопрос:"Какими способами можно её защитить". В директории админки лежат несколько файлов(Скрипты добавления, удаления , изменения новости.(Принцип работы, принимают id ищут совпадение в базе и выполняют действие)). Сама админка сделана так


a{/* topnav*/ font-family: Georgia, "Times New Roman", Times, serif; font-size:18px; text-align: center; text-shadow: 0 0 1px rgba(0,0,0,0.1); opacity: 1; color:#a6907c; text-decoration:none; -webkit-transition-property:color; -webkit-transition-duration: 0.1s; -webkit-transition-delay: 0s; -webkit-transition-timing-function: linear; -o-transition-property:color; -o-transition-duration: 0.1s; -o-transition-delay: 0s; -o-transition-timing-function: linear; -moz-transition-property:color; -moz-transition-duration: 0.1s; -moz-transition-delay: 0s; -ms-transition-timing-function: linear; -ms-transition-property:color; -ms-transition-duration: 0.1s; -ms-transition-delay: 0s; -ms-transition-timing-function: linear; } a:hover{ color:#000; #logo{ margin:0 auto; background:url('logo.png') width:226px; height:152px; border:2px #000 solid; display:block; } '; } else { echo ' '; } ?>


. В подключаемых файлах прописано условие на наличие $_SESSION['user'], если нет то перенаправляет на index.php(То есть напрямую к файлу обратиться нельзя). Но в безопасности админки я сделал мало, надеюсь на вашу помощь. Подскажите, какие методы защиты мне надо ещё реализовать? Заранее спасибо

Bromel said:
Доброго времени суток, решил написать движок для одного портала, при написание админки возник вопрос:"Какими способами можно её защитить". В директории админки лежат несколько файлов(Скрипты добавления, удаления , изменения новости.(Принцип работы, принимают id ищут совпадение в базе и выполняют действие)). Сама админка сделана так . В подключаемых файлах прописано условие на наличие $_SESSION['user'], если нет то перенаправляет на index.php(То есть напрямую к файлу обратиться нельзя). Но в безопасности админки я сделал мало, надеюсь на вашу помощь. Подскажите, какие методы защиты мне надо ещё реализовать? Заранее спасибо


Сделай привязку к своему ip

Добавь условие

if($_SERVER['REMOTE_ADDR'] == 'Твой ip')

{

//Сюда код админки

}

else

{

header("Location: index.php");

}

Еще как вариант - спрячь её. Назови файл с админкой как-нибуть типа "gdsk382dsfs.php" ну и естественно, нигде не ставь ссылку на него.

Но я бы, на твоем месте, больше беспокоился о кода самого портала... не забудь хоть автоматическими сканерами проверить свой сайт, типа BurpSuite или owasp zap.

как уже сказали выше, переименуй админку (пример: 59hgit9y.php), ну или поставь пароль в Cpanel на директорию или файл админки, что удвоит защиту админки.