[MySQL][PHP]Zabezpieczenie panelu administratora

[MySQL][PHP]Zabezpieczenie panelu administratora, Wystarczająco?

TimeMaster Zobacz profil	26.03.2019, 16:44:49 Post #1
Grupa: Zarejestrowani Postów: 16 Pomógł: 0 Dołączył: 8.09.2011 Ostrzeżenie: (0%)	Witam. Tworzę małą portalopodobną stronę, na której jest możliwość rejestracji, dodawania contentu itd. Dla wygody zarządzania zrobiłem panel admina. W bazie użytkownik ma kolumnę 'id_rangi' (ranga admina to 0). Przy logowaniu pobieram do $_session id_rangi i na stronach panelu sprawdzam: [PHP] pobierz, plaintext if ($_SESSION['id_rangi'] !== 0) { header("Location: ../"); } else { .... [PHP] pobierz, plaintext Sesje zabezpieczyłem funkcją: [PHP] pobierz, plaintext function session() { session_start(); if (!isset($_SESSION['init'])) { session_regenerate_id(); $_SESSION['init'] = true; $_SESSION['ip'] = $_SERVER['REMOTE_ADDR']; } if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR']) { die('Coś jest nie tak!!'); logout(); } } [PHP] pobierz, plaintext Chodzi głównie o to, by dane użytkowników (Imię, Nazwisko, Nr. telefonu, Adres) nie dostały się w niepowołane ręce. Czy poza ustawieniem prawidłowo praw do plików i powyższymi 'zabezpieczeniami' można coś jeszcze zastosować, by ukrócić starania wścibskiego użytkownika z Kali Linux? (IMG:style_emoticons/default/smile.gif) Ten post edytował TimeMaster 26.03.2019, 16:50:18

Odpowiedzi

dublinka Zobacz profil	27.03.2019, 07:37:41 Post #2
Grupa: Zarejestrowani Postów: 594 Pomógł: 66 Dołączył: 22.02.2008 Skąd: Dublin Ostrzeżenie: (0%)	Cytat(TimeMaster @ 27.03.2019, 00:14:23 ) Drugie zabezpieczenie jest przed linkiem z PHPSESSID Obawiam sie ze Cie nie rozumiem. W tamtym przkadzie sprawdzasz jakas sesje a czym ona jest to tylko ty wiesz. Nastepnie masz kolejna sesje z ip i sprawdzasz ja ze zmienna globalna SERVER i jesli da rozne to wysw odpowiedni komunikat. Jedyne co robisz to regenerujesz id sesji ale to zadne zabezpieczenie. Skup sie na zapytaniach do bazy bo tym moze ktos se dostac do detali. Jesli chodzi o SQL injection to jak korzystasz z mysqli to korzystaj z mysqli, bind_param i prepare. Pamiętaj jeszcze o o atakach XSS. https://php.net/manual/en/mysqli.prepare.php Jesli nie chcesz aby ktos Ci narobil balaganu to najprostszym rozwiazaniem jest trzymanie waznych plikow poza folderem "public_html" ; umiesc te pliki w jakims jeszcze jednym kat i daj go wyzej w hierarchii (wyjdz z kat public_html) a same pliki includnij. Ten post edytował dublinka 27.03.2019, 07:59:41

Posty w temacie

TimeMaster [MySQL][PHP]Zabezpieczenie panelu administratora 26.03.2019, 16:44:49

dublinka Nazwy pliku nikt nie pozna wiec.... Podajeesz trz... 26.03.2019, 19:26:04

TimeMaster CytatW pierwszym przykladzie podajesz jedna sesje ... 26.03.2019, 23:14:23

dublinka Cytat(TimeMaster @ 27.03.2019, 00:14... 27.03.2019, 07:37:41

TimeMaster Sprawdzam IP z sesji i ze zmienną SERVER by unikną... 27.03.2019, 13:16:13

dublinka Cytat(TimeMaster @ 27.03.2019, 14:16... 27.03.2019, 15:51:43

viking Zamiast sesji wykorzystaj szyfrowany token JWT, a ... 27.03.2019, 16:23:23

TimeMaster @dublinka Dzięki wielkie @viking Myślałem nad mi... 28.03.2019, 06:17:44

viking To jednego jestem pewien. Stosując się do pewnych ... 28.03.2019, 07:11:10

dublinka Jest jakis spospb na usuniecie poprzednjego id ses... 28.03.2019, 08:21:16

viking session_regenerate_id ([ bool $delete_old_ses... 28.03.2019, 08:23:23

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 15.10.2025 - 18:11

Hosting zapewnia

Forum PHP.pl