ert*_*rt3 0 php mysql pdo salt content-management-system
我正在为我一直在筹划的网站制作一个自定义CMS,安全性是一个大问题.
我可能缺乏专业知识来阻止全面的黑客社交工程进入服务器机房,但这是我从这里和其他网站编译的列表,以防止黑客攻击尝试请评论,如果这里有任何东西缺乏或如果进一步应该采取措施
阶段1
使用PDO进行数据库调用和htaccess重写URL以隐藏诸如index.php?get = variable之类的内容现在是myurl.com/get/variable
和上述变量通过PDO通过所概述这里
将数据库查询和函数移动到拒绝HTTP访问的文件夹中,并锁定服务器用户组后面的某些管理功能,只有少数人可以信任并具有访问权限.
所有密码都是加密的,永远不会被解密为纯文本,因为我没有理由需要阅读其他人的密码.
登录和用户创建因基于X尝试次数和reCapatcha的IP地址自动锁定而停止
第2阶段
这些步骤找到了一个家,主要是因为我打算有一天分发这个软件,不要在我的脸上吃鸡蛋
用户跟踪以防止查找文件和记录入侵尝试
IP跟踪以防止XXS劫持和可能的行为监控,原因类似
我想到了更多,但我的大脑现在跳到需要两阶段面部识别和状态ID的DB
除非你手上有很多时间和经验丰富的团队,否则你的CMS永远不会像Joomla,Drupal或Wordpress那样.
由于他们已经存在了一段时间,他们已经防风雨,但即使这样,黑客也会发现漏洞.
不要试图阻止你,但如果安全是一个大问题,我会选择一个完善的CMS.更具体地说,我会使用Wordpress来简化.创建自定义主题并创建自定义函数和插件也非常容易.
像上面提到的PST一样,不需要重新发明轮子
| 归档时间: |
|
| 查看次数: |
176 次 |
| 最近记录: |