<分区>
我正在为我一直在规划的网站制作自定义 CMS,安全性是一个大问题。
我可能缺乏抵御全面黑客社会工程进入服务器机房的专业知识,但这是我从此处和其他站点编译的用于防止黑客尝试的列表,如果此处缺少任何内容,请发表评论或者是否应该采取进一步的措施
第 1 阶段
使用 PDO 进行数据库调用和 htaccess 重写 url 以隐藏诸如 index.php?get=variable 现在是 myurl.com/get/variable
并且上述变量按照概述通过 PDO 传递 here
将数据库查询和功能移动到拒绝 HTTP 访问的文件夹中,并将某些管理功能锁定在服务器用户组后面,只有少数人可以访问这些用户组。
所有密码都是加密的,并且永远不会解密为纯文本,因为我没有理智的理由需要阅读其他人的密码。
基于 X 次尝试和 reCapatcha 的 IP 地址自动锁定会阻止登录和用户创建
第 2 阶段
这些步骤主要是因为我打算有一天分发这个软件并且不想鸡蛋砸在我脸上
用户跟踪以防止查找文件和记录入侵企图
IP 跟踪以防止 XXS 劫持和类似原因可能的行为监控
我会想到更多,但我的大脑现在跳到需要两阶段面部识别和状态 ID 的数据库