Меню
Что нового?

Насколько панель администрирования джолжна быть защищена?

Статус
В этой теме нельзя размещать новые ответы.

Лисю

Guest
Насколько панель администрирования джолжна быть защищена?

Пример одного модуля из админ-интерфейса:

PHP: 
if($_SERVER["REQUEST_METHOD"]=="POST"){
	// что то делаем с даными, пришедшими из формы
	header("Location: ........"); exit;
} else {  // GET-запрос 
	if(empty($_GET["lenta_id"]) || !$myDB->get_one("SELECT 1 FROM $tables[lenta_config] WHERE lenta_id='?'", $_GET["lenta_id"])){
		draw_errorTpl("ошипка!");
	}
}
что тут имеем: POST и GET запрос. Если идёт Пост, то что-то делается с данными пришедшими из формы. А если GET - то я проверяю правильность lenta_id. Но при POST методе не проверил.

Вопрос возник - а нужно ли в админ-интерфейсе делать такие же злые проверки, как в основном, публичном сайте? Т.е. в публичном интерфейсе я допускаю возможность любой ошибки и хака, а стоит ли в административной части над этим так заморачиваться?
 
svetasmirnova

svetasmirnova

маленький монстрик
Зависит от того, как админ получает доступ к этому интерфейсу.
 

Лисю

Guest
кука хранящая хэш хэша пароля :)
сесси принципиально не использую.
 
svetasmirnova

svetasmirnova

маленький монстрик
Я не про это. У него доступ из любого места или только с 127.0.0.1 или другого локального IP-адреса?
 
svetasmirnova

svetasmirnova

маленький монстрик
В этом случае чем доступ к панели администрирования отличается от доступа к любой другой части сайта?
 

Лисю

Guest
тем, что проверка на правильный пароль админа идёт в конфиге.
т.е. изначально не имея правильной куки ты не получишь доступа до скриптов, хоть ты их как вызывай - http://krugozor.air-studia.com/admin/users_list.php

-~{}~ 18.10.05 13:35:

я не забочусь о безопасности и возможностью взлома хакера. я "беспокоюсь" вдруг возникнет ситуация, когда дырявым админ-интерфейсом может воспользоваться допущенный к сайту админ.
 
kvf77

kvf77

Red Devil
Лисю

твои фантазии на сей счет врядли имеют что-то общее с реальной защитой сайта.

почему бы тебе не закрыть доступ в папку с админкой средствами .htaccess? и не сделать авторизацию средствами Apache?

от админа, имеющего доступ твои колдовские пассы с куками и паролями не защитят
 
svetasmirnova

svetasmirnova

маленький монстрик
Куки подделать можно. Другой вопрос кому это нужно.

Допускать возможность любой ошибки нужно всегда. В принципе можно забить на хаки, но лучше писать так, чтобы ошибка не привела к фатальным последствиям. Т.е. в самом худшем случае вызвала бы ошибку интерпретатора и админу пришлось бы любоваться на белую страницу.
 
Фанат

Фанат

oncle terrible
Команда форума
данные надо проверять всегда.
гораздо чаще, чем от злого умысла, данные гибнут по дурости.
вопрос бессмысленный.
тема закрыта
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху