在PHP中设置管理区域最安全的方法是什么？

Question

最近，我一直在考虑最安全的方式，以建立一个管理区域的网站。我玩过的两个选择是，

• 创建管理区域作为主站点的一部分，要求他们首先使用电子邮件地址作为用户名注册，并将其设置为管理级别。
• 创建一个与网站完全不同的管理区域，用户不必在其中注册，而是由另一个管理员设置。

。

我意识到，如果我设置的管理区域与网站分开，这将要求用户发现管理面板在他们甚至可以尝试进入它。这增加了多少安全性？

然而，强迫他们在主站点上注册一个电子邮件地址，将他们的帐户与我认为有助于安全的电子邮件地址联系起来。但是将管理区域放在主站点上可以更容易地进行黑客攻击，因为用户所需要做的就是在系统中找到一个bug，对吗？

我想我可以看到两者的正面和负面。

Answer 1

--我意识到，如果我将管理区域与站点分开设置，这将要求用户在尝试进入管理面板之前就发现管理面板在那里。这增加了多少安全性？

这就是你所说的“默默无闻的安全”。一般来说，它只会阻止不那么顽固的黑客。对于那些一心想侵入你的网站的人来说，这只会给他们的成功提供一个短暂的延迟。

尽管如此，当放置在本已安全的系统上时，默默无闻仍然是有用的。使用它可以防止普通的最终用户看到他们不一定想看到或不需要看到的东西。

Answer 2

你也可以强迫他们使用单独的管理网站和一个电子邮件入口存在于主网站上。实际上，两者都要做；在他们的主帐户上添加一个标记，上面写着"ok，这个是管理员“。通过这种方式，您可以在指向管理站点的主站点上显示iframe，而在管理站点上连接的任何人都必须设置此标志。

最后，不要忘记单点登录；在连接到任何网站时，都要创建两个cookie，这样它们就不必在两个地方进行身份验证(除非它们必须经过设计)。

Answer 3

我的经验法则是(大部分)：

登录后，管理员是否会在站点的设计中做一些事情，或者他们是否处于完全不同的“设计”中(就像大多数CMS的后端)。如果他们保持相同的设计(而且站点有可能为用户注册)，那么只在主站点上创建管理员级帐户是有意义的。

如果没有用户注册的选项，可以在类似于/admin/的东西中使用后端，并将其作为一天。

此外，“可攻击”取决于数以百万计的因素，管理员IMHO的登录位置不是.好吧..。很重要。