UC知道用PHP做的网站后台,高手来看我采取的这些安全措施足够了吗?
来源:百度知道 编辑:UC知道 时间:2024/05/20 11:32:05
一个小说站后台,主要考虑到现在流行的CMS采集太慢了,对往往有几千本的小说站不适合,没办法,只好自己写一个。
我是新手,一边学一边做的,对安全更是不太懂,请高手指点指点。
1,后台隐藏,在前台找不到。
2,帐号密码没有放在数据库,而是放在PHP文件中,定义为一个变量,都经过MD5加密了,没事我就常改改。
3,前台也有一些动态页面,不过很简单,一个搜索,也可能加入一个书架和书签功能,具体怎么做还没想好,有两个选择,一个是COOKIE,一个是数据库,不知道哪个更好一些,请高手教教我。这些数据不重要,丢了就丢了,没什么大不了,如果用数据库的话,需要让用户登陆,应该不是很安全,不过好处是数据不会丢。
4,所有用户输入,都经过处理,比如URL参数,比如书号,是数字的,就限制这个参数只能为数字,也限制长度(最多4位数)。所有输入去除SQL标记,敏感字符(<>'",=)都用其他样式相同的字符替代字符替代,比如全角。
5,后台每个页面开始都包含一个验证是否登陆的代码,如果没有登陆就输出一段跳转到登陆页面的JS代码,并exit();我只是设了一个登陆标记,就是login=1,不知道有没有必要把帐号密码都给session了,也一块验证一下。
6,后台路径可以随时修改,我也打算没事就改改的。网站的配置文件(根目录,后台路径)里的一切参数都定义为一个变量。
7,数据库的帐号,密码,主机是定义在一个自定义函数里的,不知道这样是不是比单纯放在PHP文件里更安全些。
8,网站功能比较简单,无评论,无上传(后台也没有)。只有一个简单的搜索,还有书的列表页是动态,其他全部静态自动生成的。
9,屏蔽一切SQL出错信息。
不知道还有没有什么漏洞。据说SQL注入很牛X,别人专业 人士搞的站都经常被注入,我这只是简单处理了一下,就怕不行啊,请高手指点一下。
多谢,多谢,我一共就200分,给认真帮助我的朋友一个最大分,100分。
还有一个问题,我后台里包含的文件全都用的物理路径,不知道这样会不会不安全。
还有一个,我的后台登陆需要验证码,这里我搞了一个小花招,按照图片显示输入是输不正
我是新手,一边学一边做的,对安全更是不太懂,请高手指点指点。
1,后台隐藏,在前台找不到。
2,帐号密码没有放在数据库,而是放在PHP文件中,定义为一个变量,都经过MD5加密了,没事我就常改改。
3,前台也有一些动态页面,不过很简单,一个搜索,也可能加入一个书架和书签功能,具体怎么做还没想好,有两个选择,一个是COOKIE,一个是数据库,不知道哪个更好一些,请高手教教我。这些数据不重要,丢了就丢了,没什么大不了,如果用数据库的话,需要让用户登陆,应该不是很安全,不过好处是数据不会丢。
4,所有用户输入,都经过处理,比如URL参数,比如书号,是数字的,就限制这个参数只能为数字,也限制长度(最多4位数)。所有输入去除SQL标记,敏感字符(<>'",=)都用其他样式相同的字符替代字符替代,比如全角。
5,后台每个页面开始都包含一个验证是否登陆的代码,如果没有登陆就输出一段跳转到登陆页面的JS代码,并exit();我只是设了一个登陆标记,就是login=1,不知道有没有必要把帐号密码都给session了,也一块验证一下。
6,后台路径可以随时修改,我也打算没事就改改的。网站的配置文件(根目录,后台路径)里的一切参数都定义为一个变量。
7,数据库的帐号,密码,主机是定义在一个自定义函数里的,不知道这样是不是比单纯放在PHP文件里更安全些。
8,网站功能比较简单,无评论,无上传(后台也没有)。只有一个简单的搜索,还有书的列表页是动态,其他全部静态自动生成的。
9,屏蔽一切SQL出错信息。
不知道还有没有什么漏洞。据说SQL注入很牛X,别人专业 人士搞的站都经常被注入,我这只是简单处理了一下,就怕不行啊,请高手指点一下。
多谢,多谢,我一共就200分,给认真帮助我的朋友一个最大分,100分。
还有一个问题,我后台里包含的文件全都用的物理路径,不知道这样会不会不安全。
还有一个,我的后台登陆需要验证码,这里我搞了一个小花招,按照图片显示输入是输不正
哎,你的问题太多了,真的没时间一个一个帮你这个OK 这个不OK,
看了下,基本防范措施都还到位,其实也只是对付一般人士,真有人
想黑你站,就算你在怎么防还是会有漏洞,除非你是存HTML - -|||
问题补充里的验证码真的很有意思,学到了...