wangyz636 发表于 2019-9-25 11:29:58

网站后台这样判断是否登录安全吗

我看cms里admin模块basecontrol初始化方法:

    function init() {
      header("Content-type: text/html; charset=utf-8");
      if ( false == $this->checkAccess()) {
            $this->tips("没有权限或登录过期,请重新登录!", url("login", "index"));
      }
      $this->layout_title = "CMS后台管理";
    }


我建站时竟然不小心把红字这一行给注销掉了,于是后台大门直接敞开,路径正确就可以访问后台任何资源,由此我心有余悸的问一下,这样一行代码验证身份是否安全(会不会存在代码会被木马篡改?)。

jake 发表于 2019-9-25 16:31:44

。。。如果木马可以篡改代码文件,那么就可以做太多事情了,比如说改一下你的密码之类的,或者直接开个后台scp把后台资源全部搬走,都比要了解代码再来改登陆逻辑简单多了吧。

wangyz636 发表于 2019-9-26 08:48:52

jake 发表于 2019-9-25 16:31
。。。如果木马可以篡改代码文件,那么就可以做太多事情了,比如说改一下你的密码之类的,或者直接开个后台 ...

:lol,说得对,是我多虑了,看来开发环境中的代码搬到生产环境,除了把'debug' => 0外,还要多测试下,把每次新发现需要测试的点累计记录下来。

jake 发表于 2019-9-26 16:31:02

wangyz636 发表于 2019-9-26 08:48
,说得对,是我多虑了,看来开发环境中的代码搬到生产环境,除了把'debug' => 0外,还要多测试下,把 ...

一般我们生产环境还有个关键的地方,就是前面有好几层nginx,后面再到web php,在前面的nginx那儿把各种信息都屏蔽了,只给出类似404或者服务不可用之类的提示。这样做可以保证调试debut信息或者其他敏感信息暴露到外网。
页: [1]
查看完整版本: 网站后台这样判断是否登录安全吗