我在网站上有一些额外的功能,员工可以使用但不允许客户查看.
员工都将进入一系列领域.
我所做的是像这样得到用户ip:
$user_ip = gethostbyname($_SERVER['REMOTE_ADDR']);
然后,我获得了用户将使用的域的所有ips的数组 gethostbyname
然后我检查用户是否在其中一个域上:
in_array($user_ip,$allowedIPS)
因此,如果用户位于其中一个域中,则会看到其他功能供内部使用.否则他们只看到对公众意味着什么.
我的问题是,这是安全的吗?或者有人可能欺骗他们的IP看起来像他们在我们的域名并获得这些功能的访问权限?
由于Three Way Handshake,不可能在开放的互联网上欺骗TCP连接.但是,可以使用CSRF访问此功能.
PHP $_SERVER['REMOTE_ADDR']直接从Apache的TCP套接字中提取,因为它不会受到攻击者的影响.是的,我看过这段代码.
| 归档时间: |
|
| 查看次数: |
6412 次 |
| 最近记录: |