ФорумПрограммированиеPHP для идиотов → методы защита административного раздела

методы защита административного раздела

  • Juriy

    Сообщения: 11 Репутация: N Группа: Кто попало

    Spritz 9 октября 2011 г. 14:39

    всем привет!

    интересуют методы защиты административного раздела. проект самописный. пошарил по инету и только поставил пароль на админ директрию посредствам htpasswd и htaccess. по ip привязку не делал, немного не подходит.

    достаточна ли эта мера? что нужно сделать для максимальной безопасности? нужно ли как то скрывать раздел от роботов?

    интересны советы и\или ссылки на эту тематику.
  • Faster

    Сообщения: 1159 Репутация: N Группа: Кто попало

    Spritz 9 октября 2011 г. 14:51, спустя 11 минут 48 секунд

    если ссылок нет на админку и папка называется не admin/admins то роботы идут лесом
    защищать по ИП стоит только важную финансовую информацию. Админки визиток никому не упали
    по ИП тоже делается через htaccess
  • Juriy

    Сообщения: 11 Репутация: N Группа: Кто попало

    Spritz 9 октября 2011 г. 16:39, спустя 1 час 48 минут 18 секунд

    Faster, пасиб за ответ.
    ссылок на админку нет и папка называется никак не рядом с admin
    пока сделал так:
    запрет на индексацию админ дериктории -> защита на чтение robot.txt -> пароль на админ дерикторию
    есть ли дополнительные методы если допустить, что у меня там важная фин. инфа?
    так же не посоветуете хорошую литературу по этой тематике?
    мне важно понять механизм, хоть и пишу админку визитки )
  • kostyl

    Сообщения: 5210 Репутация: N Группа: Джедаи

    Spritz 9 октября 2011 г. 16:48, спустя 9 минут 23 секунды

    Juriy, а как насчет кук?
  • master

    Сообщения: 3244 Репутация: N Группа: Джедаи

    Spritz 9 октября 2011 г. 17:03, спустя 14 минут 25 секунд

    ну кагбэ авторизация по паролю и всё такое
    не всё полезно, что в swap полезло
  • пытач_ок

    Сообщения: 1 Репутация: N Группа: Кто попало

    Spritz 3 ноября 2011 г. 17:33, спустя 25 дней 30 минут

    обычно при авторизации пользователю вешают куку (например ид) и пишут в сессию (например же ид)
    и при работе с админкои сверяют сессию с кукои - если сошлось то все ок если нет, то это злобыи хакер вася из 8г и пошолоннах

    зы: тупо ид в куку писать не стоит, это так для примера,
    и когда куку вешаешь ставишь параметр отдавать только по хттп запросу (7 парамет если память не ….) у сессии тож такои параметр есть- стоит поставить (а то некоторые любят себе яндекс бары ставить а потом сессии в топе яднекса висят)))

    а вообще если безопасность нужна , то - https/ssl только для него нужен отдельныи ип
  • Ivan

    Сообщения: 1316 Репутация: N Группа: Адекваты

    Spritz 3 ноября 2011 г. 18:08, спустя 35 минут 2 секунды

    правда что ли?

Пожалуйста, авторизуйтесь, чтобы написать комментарий!