PHP/MySQL을 사용하여 커뮤니티 사이트를 만들고 있는데, 일반 사용자가 로그인 한 상태에서 관리자 로그인을 허용 한 다음 "관리자 제어판"링크를 표시하도록 생각하고있었습니다. 따라서 제어판 플랫폼은 동일한 사이트에서 호스팅됩니다. 이거 안전한가요? 관리자 대신 다른 게이트웨이 (예 : http://admin.example.com)를 사용해야합니까? 아니면 완전히 다른 도메인에서 제어판을 호스팅해야합니까?관리자 제어판을 어디에 배치해야합니까?
감사합니다.
.htaccess를 사용하여 액세스가 제한된 디렉토리를 사용하는 것이 좋습니다.
관리자의 사용자 계정이 해킹 당하면 ACP에 대한 그의 액세스가 여전히 안전합니다.
다른 보안 방법에 따라 관리자와 일반 사용자가 같은 양식을 사용하여 로그인하는 것이 반드시 안전하지는 않습니다. Drupal과 같은 일부 CMS 시스템은 해당 모델을 사용합니다.
security through obscurity보다는 다른 보안 문제에 더 집중하는 것이 좋습니다. 관리자 로그인을 특정 IP 주소로 제한합니까? 여러 번의 로그인 시도 실패 후 사용자를 차단합니까? 강력한 암호를 권장합니까? 기타
관리자 로그인을 위해 https를 강제 실행하는 것도 좋지 않습니다 (가능한 경우) –
동의! ** 모든 관리자 페이지 **에 대해 https를 강제 실행하는 것은 나쁜 생각이 아닙니다. –
정확한 사용자 이름/암호로 모든 사람에게 로그인합니다. 그러나 나는 "예"와 "아니오"에 대한 값을 추측하기 힘든 관리자를 위해 내 사용자 테이블에 추가 열을 가지고 있습니다. 사용자가 로그인하면이 열도 확인하고 값이 "예"이면 다른 테이블에서 관리자 권한을 확인합니다.
하지만 관리 패널 자체는/admin과 같은 일반 폴더에 있습니다. 예상대로.
이것은 간단하지만 실용적이며, 나는 이것에 대해 생각하지 않았다. –