Подскажите способы защиты админки

Bromel · 7 Dec 2013

Доброго времени суток, решил написать движок для одного портала, при написание админки возник вопрос:"Какими способами можно её защитить". В директории админки лежат несколько файлов(Скрипты добавления, удаления , изменения новости.(Принцип работы, принимают id ищут совпадение в базе и выполняют действие)). Сама админка сделана так

<?php session_start(); ?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta name="keywords" content="" /> <meta name="description" content="" /> <meta http-equiv="Content-Type" content="text/html; charset=windows-1251" /> <title></title> <style> a{/* topnav*/ font-family: Georgia, "Times New Roman", Times, serif; font-size:18px; text-align: center; text-shadow: 0 0 1px rgba(0,0,0,0.1); opacity: 1; color:#a6907c; text-decoration:none; -webkit-transition-property:color; -webkit-transition-duration: 0.1s; -webkit-transition-delay: 0s; -webkit-transition-timing-function: linear; -o-transition-property:color; -o-transition-duration: 0.1s; -o-transition-delay: 0s; -o-transition-timing-function: linear; -moz-transition-property:color; -moz-transition-duration: 0.1s; -moz-transition-delay: 0s; -ms-transition-timing-function: linear; -ms-transition-property:color; -ms-transition-duration: 0.1s; -ms-transition-delay: 0s; -ms-transition-timing-function: linear; } a:hover{ color:#000; #logo{ margin:0 auto; background:url('logo.png') width:226px; height:152px; border:2px #000 solid; display:block; } </style> </head> <body> <table style="margin:0 auto;margin-top:100px;"> <td> <img src="logo.png"/> </td> </table> <?php require_once("../config/dbcfg.php"); if (!isset($_SESSION['user'])) { require_once("scripts/login.php"); require_once("scripts/passcheck.php"); exit; } if(($_GET["table"]) == "1") { require_once("tablemas.php"); } elseif(($_GET["table"]) == "2") { require_once("tablefur.php"); } elseif($_GET["iddel"]) { require_once("del.php"); } elseif($_GET["editid"]) { require_once("edit.php"); } elseif(($_GET["function"]) == "addf") { require_once("addfurn.php"); } elseif(($_GET["function"]) == "addm") { require_once("addm.php"); } elseif(($_GET["function"]) == "delog") { session_destroy(); echo '<meta http-equiv="refresh" content="1;URL=">'; } else { echo '<table style="width:400px;border:#e3d6c0 2px solid;background:#fafaf9;margin:0 auto;height:70%;vertical-align:center;margin-top:15px;"> <tr style="text-align:center;"> <td style="border-bottom:1px #e3d6c0 solid"> <a href="index.php?table=1"></a> </td> </tr> <tr style="text-align:center;"> <td style="border-bottom:1px #e3d6c0 solid"> <a href="index.php?table=2"></a> </td> </tr> <tr style="text-align:center;"> <td style="border-bottom:1px #e3d6c0 solid"> <a href="index.php?function=addf"></a> </td> </tr> <tr style="text-align:center;"> <td style="border-bottom:1px #e3d6c0 solid"> <a href="index.php?function=addm"></a> </td> </tr> <tr style="text-align:center;"> <td> <a href="index.php?function=delog"></a> </td> </tr> </table>'; } ?> </body>
Click to expand...

. В подключаемых файлах прописано условие на наличие $_SESSION['user'], если нет то перенаправляет на index.php(То есть напрямую к файлу обратиться нельзя). Но в безопасности админки я сделал мало, надеюсь на вашу помощь. Подскажите, какие методы защиты мне надо ещё реализовать? Заранее спасибо

mr.borocco · 7 Dec 2013

Bromel said:

Доброго времени суток, решил написать движок для одного портала, при написание админки возник вопрос:"Какими способами можно её защитить". В директории админки лежат несколько файлов(Скрипты добавления, удаления , изменения новости.(Принцип работы, принимают id ищут совпадение в базе и выполняют действие)). Сама админка сделана так . В подключаемых файлах прописано условие на наличие $_SESSION['user'], если нет то перенаправляет на index.php(То есть напрямую к файлу обратиться нельзя). Но в безопасности админки я сделал мало, надеюсь на вашу помощь. Подскажите, какие методы защиты мне надо ещё реализовать? Заранее спасибо
Click to expand...

Сделай привязку к своему ip

Добавь условие

if($_SERVER['REMOTE_ADDR'] == 'Твой ip')
{
//Сюда код админки
}
else
{
header("Location: index.php");
}

say1ted · 7 Dec 2013

Еще как вариант - спрячь её. Назови файл с админкой как-нибуть типа "gdsk382dsfs.php" ну и естественно, нигде не ставь ссылку на него.

Но я бы, на твоем месте, больше беспокоился о кода самого портала... не забудь хоть автоматическими сканерами проверить свой сайт, типа BurpSuite или owasp zap.

StormAttack · 8 Dec 2013

как уже сказали выше, переименуй админку (пример: 59hgit9y.php), ну или поставь пароль в Cpanel на директорию или файл админки, что удвоит защиту админки.

Подскажите способы защиты админки

Bromel New Member

mr.borocco New Member

say1ted New Member

StormAttack Member

Подскажите шелл на PHP8, Linux 4

Поставить защиту для скрипта

Актуальные всеразличные способы взлома всего и вся в 2022и.т.д. // FAQ Актуален ли способ или нет?

Useful Searches

Подскажите способы защиты админки

Bromel New Member

mr.borocco New Member

say1ted New Member

StormAttack Member

Подскажите шелл на PHP8, Linux 4

Поставить защиту для скрипта

Актуальные всеразличные способы взлома всего и вся в 2022и.т.д. // FAQ Актуален ли способ или нет?