阻止用户访问管理登录页面

Question

目前，我正在设置一个PHP管理登录页面，这是我如何设置它。

如果用户导航到website.com/admin，则返回404错误。访问管理登录的唯一方法是访问website.com/ admin ?key=随机字符串。如果URL中的键与数据库中的键不匹配，它将返回404错误。当键匹配时，它将向您提供管理登录。

我认为这是聪明的，以帮助阻止某人访问管理登录屏幕，但我没有足够的经验，以了解这是否属实。

Answer 1

我认为这是聪明的，以帮助阻止某人访问管理登录屏幕，但我没有足够的经验，以了解这是否属实。

不要试图通过战胜攻击者来打败他们。总是假设攻击者比您聪明，并在该模型上构建您的安全性。

让您的登录和会话管理系统被证明是安全的。例如：

• 采用双因素身份验证。
• 使用HTTPS以及安全cookie和HSTS。
• 在多个失败登录后限制或锁定帐户。
• 确保您不容易受到会话固定的影响。
• 确保您不容易受到用户枚举的攻击。

查看会话管理备忘单以获得更多的指针。

另外，不要在URL本身中使用秘密。即使使用HTTPS，它们也是受保护的，但它们在浏览器和代理历史记录中都是登录的，默认情况下是服务器日志，并且可能在referer头中泄漏。

Answer 2

为了获得额外的安全性，您最好在/admin目录中使用htaccess和htpassword。有几个教程和生成器可用。

这样，当浏览到页面时，它会询问密码/密钥。如果输入正确，它将显示您的登录页面-否则它将显示一个禁止的错误。