UC知道把网站登录密码放在文件里而不是数据库里,安全吗?
来源:百度知道 编辑:UC知道 时间:2024/05/27 20:31:36
自己想做个小网站后台,管理员的帐号密码,我都不是放在数据库里的,而是直接放在了登录校验程序里,直接赋值给了变量,我想问下,这样安全吗????请高手解答,谢谢。
还有一个问题,我看现在很多黑站的方法都根数据库有关,是不是不用数据库(但是还是会用ASP或者PHP)就相当安全呢??
还有一个问题,我对网站的安全不是很懂,做的后台恐怕漏洞不少,所以我打算把后台隐藏起来,前台只显示生成的HTML,不包含任何与数据库有关的内容,这样会不会比较安全???
谢谢。
谢谢您的解答,我是用php做的,刚开始学,想一边学一边做。我在网上看到一篇文章,介绍网站安全的,那里边说不管是通过form还是通过url传递的参数,都要进行转义,可以防止别人在参数中传递SQL代码。但是我看现在有很多SQL注入的教程,都是通过在URL中传递SQL语句来暴站的,难道转义也不能防止这一点吗???还是那些教程只适用于那些没有转义的。不过我想现在也没几个网站不转义的了。那为什么SQL注入还这么有市场啊。
还有一个MD5加密的问题,现在好像有不少软件或者网站能能破解吧??我自己没试过,不过好像挺简单的,吧MD5加密过的密码输入进去,然后点下按钮,密码就还原了。既然破解密码这么简单,那为什么还要MD5加密啊。MD5加密是不是可以设置一个单独的密钥啊,如果有单独的密钥,那为什么破解起来这么容易。好像有一个废弃的加密方式,不知是什么名字了,好像只能单向加密,无法还原,这样应该很安全啊,那为什么会被MD5取代。
还有一个,我所有的后台页面在开始处都会校验是否已登录,如果未登录,就会直接踢回登录页面,如果能保证对方登录不成功,那对方还有什么法子破解吗???
还有一个问题,我看现在很多黑站的方法都根数据库有关,是不是不用数据库(但是还是会用ASP或者PHP)就相当安全呢??
还有一个问题,我对网站的安全不是很懂,做的后台恐怕漏洞不少,所以我打算把后台隐藏起来,前台只显示生成的HTML,不包含任何与数据库有关的内容,这样会不会比较安全???
谢谢。
谢谢您的解答,我是用php做的,刚开始学,想一边学一边做。我在网上看到一篇文章,介绍网站安全的,那里边说不管是通过form还是通过url传递的参数,都要进行转义,可以防止别人在参数中传递SQL代码。但是我看现在有很多SQL注入的教程,都是通过在URL中传递SQL语句来暴站的,难道转义也不能防止这一点吗???还是那些教程只适用于那些没有转义的。不过我想现在也没几个网站不转义的了。那为什么SQL注入还这么有市场啊。
还有一个MD5加密的问题,现在好像有不少软件或者网站能能破解吧??我自己没试过,不过好像挺简单的,吧MD5加密过的密码输入进去,然后点下按钮,密码就还原了。既然破解密码这么简单,那为什么还要MD5加密啊。MD5加密是不是可以设置一个单独的密钥啊,如果有单独的密钥,那为什么破解起来这么容易。好像有一个废弃的加密方式,不知是什么名字了,好像只能单向加密,无法还原,这样应该很安全啊,那为什么会被MD5取代。
还有一个,我所有的后台页面在开始处都会校验是否已登录,如果未登录,就会直接踢回登录页面,如果能保证对方登录不成功,那对方还有什么法子破解吗???
不放在数据库 只是不方便一些操作而已,比如不用改文件就能修改密码,还有添加别的管理员帐号等等操作...至于安全问题 跟放在数据库里差不多 不过记得要加密
如果程序写得不怎么样 不用数据库也不安全 不过少应用些东西安全性肯定就能高些 正跟服务器的配置一样,装的东西越多,安全性越差
把后台隐藏起来,的确能达到辅助安全目的,不过最重要的还是从代码着手才是正途