我正在使用PHP / MySQL构建社区站点,我想让管理员登录普通用户登录的位置,然后使用“管理控制面板”链接显示它们。这样控制面板平台就托管在同一个站点上。这样安全吗?是否应该为管理员设置不同的“网关”,即http://admin.example.com?或者我应该在完全不同的域上托管控制面板吗?
感谢您的时间。
答案 0 :(得分:3)
根据您的其他安全措施,让管理员和普通用户使用相同的表单登录不一定不太安全。某些CMS系统(如Drupal)使用该模型。
最好将精力集中在其他安全问题上,而不是security through obscurity。您是否将管理员登录限制为某些IP地址?在多次登录尝试失败后,您是否阻止用户?你鼓励/强制使用强密码吗?等
答案 1 :(得分:1)
我更喜欢使用.htaccess使用访问受限的目录。
如果管理员的用户帐户被黑客攻击,他对ACP的访问仍然是安全的。
答案 2 :(得分:1)
我使用正确的用户名/密码登录所有人。但是我的用户表中还有一个额外的列,用于管理员(“难以猜测”)的值为“是”和“否”。如果用户登录,我也会检查此列,如果值为“是”,我会检查另一个表是否有管理员权限。
但是管理面板本身位于常规文件夹中,例如:/ admin。正如您所料。