请选择 进入手机版 | 继续访问电脑版

SpeedPHP框架

 找回密码
 注册成为新用户

QQ登录

只需一步,快速开始

查看: 264|回复: 3

网站后台这样判断是否登录安全吗

[复制链接]
发表于 2019-9-25 11:29:58 | 显示全部楼层 |阅读模式
我看cms里admin模块basecontrol初始化方法:

    function init() {
        header("Content-type: text/html; charset=utf-8");
        if ( false == $this->checkAccess()) {
            $this->tips("没有权限或登录过期,请重新登录!", url("login", "index"));
        }
        $this->layout_title = "CMS后台管理";
    }


我建站时竟然不小心把红字这一行给注销掉了,于是后台大门直接敞开,路径正确就可以访问后台任何资源,由此我心有余悸的问一下,这样一行代码验证身份是否安全(会不会存在代码会被木马篡改?)。
发表于 2019-9-25 16:31:44 | 显示全部楼层
。。。如果木马可以篡改代码文件,那么就可以做太多事情了,比如说改一下你的密码之类的,或者直接开个后台scp把后台资源全部搬走,都比要了解代码再来改登陆逻辑简单多了吧。
 楼主| 发表于 2019-9-26 08:48:52 | 显示全部楼层
jake 发表于 2019-9-25 16:31
。。。如果木马可以篡改代码文件,那么就可以做太多事情了,比如说改一下你的密码之类的,或者直接开个后台 ...

,说得对,是我多虑了,看来开发环境中的代码搬到生产环境,除了把'debug' => 0外,还要多测试下,把每次新发现需要测试的点累计记录下来。
发表于 2019-9-26 16:31:02 | 显示全部楼层
wangyz636 发表于 2019-9-26 08:48
,说得对,是我多虑了,看来开发环境中的代码搬到生产环境,除了把'debug' => 0外,还要多测试下,把 ...

一般我们生产环境还有个关键的地方,就是前面有好几层nginx,后面再到web php,在前面的nginx那儿把各种信息都屏蔽了,只给出类似404或者服务不可用之类的提示。这样做可以保证调试debut信息或者其他敏感信息暴露到外网。
您需要登录后才可以回帖 登录 | 注册成为新用户

本版积分规则

手机浏览|简版|中文PHP框架|开源协议|SpeedPHP.com ( 粤ICP备08008671号

GMT+8, 2019-11-19 20:39

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表