[php]Jak zabezpieczacie panel administracyjny strony..

[php]Jak zabezpieczacie panel administracyjny strony.., sesje, ssl, inne?

ghost2k8 Zobacz profil	20.05.2010, 22:17:43 Post #1
Grupa: Zarejestrowani Postów: 14 Pomógł: 0 Dołączył: 13.01.2009 Ostrzeżenie: (0%)	w jaki sposob zabezpieczacie panele administracyjne do zarzadzania stroną np. we wlasnym cms. czy to tylko logowanie poprzez sesje, ceryfikaty ssl, inne? jakich uzywacie sciezek do panelu, czy jest to np. http://admin.domena.pl, http://domena.pl/admin.php . czy zupelnie inaczej?

Odpowiedzi (1 - 10)

Fifi209 Zobacz profil	20.05.2010, 22:22:58 Post #2
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)	Cytat(ghost2k8 @ 20.05.2010, 23:17:43 ) w jaki sposob zabezpieczacie panele administracyjne do zarzadzania stroną np. we wlasnym cms. czy to tylko logowanie poprzez sesje, ceryfikaty ssl, inne? jakich uzywacie sciezek do panelu, czy jest to np. http://admin.domena.pl, http://domena.pl/admin.php . czy zupelnie inaczej? Zależy jaki poziom bezpieczeństwa potrzebujesz, jeżeli zwykły prosty cms to sesje. Adres - dowolny moim zdaniem.

pedro84 Zobacz profil	20.05.2010, 22:23:41 Post #3
Grupa: Nieautoryzowani Postów: 2 249 Pomógł: 305 Dołączył: 2.10.2006 Ostrzeżenie: (0%)	1. Nie używam nazwy "admin". 2. Logowanie 3. Zabezpieczenie prób logowania (max 3 nieudane) 4. Ciasteczko weryfikujące tożsamość (dodaję po pierwszym poprawnym logowaniu).

Zrewolwerowany Zobacz profil	21.05.2010, 12:14:47 Post #4
Grupa: Zarejestrowani Postów: 3 Pomógł: 0 Dołączył: 21.05.2010 Ostrzeżenie: (0%)	Sprawdzam czy adres IP zalogowanej osoby zgadza się z adresem zapisanym w bazie danych dla danego konta.

tehaha Zobacz profil	21.05.2010, 12:28:44 Post #5
Grupa: Zarejestrowani Postów: 1 748 Pomógł: 388 Dołączył: 21.08.2009 Skąd: Gdynia Ostrzeżenie: (0%)	Cytat(Zrewolwerowany @ 21.05.2010, 13:14:47 ) Sprawdzam czy adres IP zalogowanej osoby zgadza się z adresem zapisanym w bazie danych dla danego konta. A co jeżeli ktoś ma dynamiczne IP?

Fifi209 Zobacz profil	21.05.2010, 12:33:21 Post #6
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)	Cytat(tehaha @ 21.05.2010, 13:28:44 ) A co jeżeli ktoś ma dynamiczne IP? To zapisujesz w sesji, na czas trwania sesji raczej nie zmieni mu się IP.

tehaha Zobacz profil	21.05.2010, 12:59:12 Post #7
Grupa: Zarejestrowani Postów: 1 748 Pomógł: 388 Dołączył: 21.08.2009 Skąd: Gdynia Ostrzeżenie: (0%)	no ja to wiem, tylko chciałem tutaj zauważyć, że przypisywanie na sztywno numeru IP w bazie to słaby pomysł...

croc Zobacz profil	21.05.2010, 13:02:13 Post #8
Grupa: Zarejestrowani Postów: 706 Pomógł: 108 Dołączył: 12.03.2010 Ostrzeżenie: (0%)	A po co zapisywać IP w sesji?

pedro84 Zobacz profil	21.05.2010, 13:12:44 Post #9
Grupa: Nieautoryzowani Postów: 2 249 Pomógł: 305 Dołączył: 2.10.2006 Ostrzeżenie: (0%)	Cytat(Zrewolwerowany @ 21.05.2010, 13:14:47 ) Sprawdzam czy adres IP zalogowanej osoby zgadza się z adresem zapisanym w bazie danych dla danego konta. No to ja bym sobie juz nie po "administrował" ze swoim zmiennym IP. Przypisywanie adresu do sesji? A co to da? To już odpowiem: nic.

tehaha Zobacz profil	21.05.2010, 14:30:20 Post #10
Grupa: Zarejestrowani Postów: 1 748 Pomógł: 388 Dołączył: 21.08.2009 Skąd: Gdynia Ostrzeżenie: (0%)	Cytat(pedro84 @ 21.05.2010, 14:12:44 ) Przypisywanie adresu do sesji? A co to da? To już odpowiem: nic. Zapisywanie IP do sesji można użyć jako zabezpieczenia przed przechwyceniem sesji, sprawdzamy czy adres nie zmienił się po zalogowaniu. Oczywiście przy małym cms'ie nie ma potrzeby takich zabezpieczeń, ale przy większym projekcie warto rozważyć takie dodatkowe zabezpieczenia http://talks.php.net/show/phpworks2004-php...ion-security/14

pedro84 Zobacz profil	21.05.2010, 14:37:46 Post #11
Grupa: Nieautoryzowani Postów: 2 249 Pomógł: 305 Dołączył: 2.10.2006 Ostrzeżenie: (0%)	Cytat(tehaha @ 21.05.2010, 15:30:20 ) Zapisywanie IP do sesji można użyć jako zabezpieczenia przed przechwyceniem sesji, sprawdzamy czy adres nie zmienił się po zalogowaniu. Oczywiście przy małym cms'ie nie ma potrzeby takich zabezpieczeń, ale przy większym projekcie warto rozważyć takie dodatkowe zabezpieczenia http://talks.php.net/show/phpworks2004-php...ion-security/14 No to akurat wiem, ale Autora nie podejrzewam o jakiś duży CMS. Ja i tak wolę tworzyć unikatowy identyfikator + zabezpieczenie sesji. W przypadku IP jest po prostu pomysł lekko chybiony...

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Aktualny czas: 22.08.2025 - 20:26

Hosting zapewnia

Forum PHP.pl