这可能是一个愚蠢的问题,但我需要探索每一个选项,并且在这个选项上无法从谷歌中获得太多信息。希望这不是太健谈。
我正在考虑保护基于 php/mysql 的管理系统的选项。我考虑过的一件事是使用 .htacess 将 IP 白名单列入白名单,并且只允许我的客户端访问:
allow from xx.xx.xx.xxx
但我想知道另一种方法是否可能根本不在线安装管理系统。是否可以在本地运行 admin php(使用 wamp),然后将其连接到实时数据库?
这是疯了吗?
问问题
115 次
1 回答
1
我可以假设您的应用程序没有托管在您的客户那里吗?因为如果是,那么您可以简单地将真正的应用程序放在面向 Internet 的 DMZ 中,并将管理应用程序放在 Intranet 中,而无需从 Internet 访问。
如果应用程序不是托管在您的客户的,那么您的基于 IP 的方法看起来不错。但是您不应该仅仅依靠 IP 保护作为身份验证机制,您还应该使用要求用户名和密码的登录表单来保护管理应用程序。如果您想非常小心,可以考虑使用双因素身份验证(令牌或 Google Authenticator)。
正如 jraede 已经指出的那样,使用远程数据库进行本地安装将很难维护。此外(最重要的是)远程数据库意味着您需要可以从 Internet 访问该数据库。如果可以避免,那应该是安全的禁忌。
于 2013-06-28T10:43:19.137 回答