隐藏管理URL以防止被黑客破坏真的是个好主意吗?即使黑客有用户名和密码,黑客如何在不知道URL的情况下进入管理区域?
你的意思是通过模糊实现安全,这是一个非常非常糟糕的想法。。。
不,我认为这不是一个好主意,主要是因为这可能毫无意义,因为与专业人员实施、更新和使用的久经考验的安全方法和实践相比,你可能获得的任何微小安全性都是可怕的。
此外,编写和维护代码更可能让人头疼,尤其是在询问有关自制软件安全性的建议时。
即使你隐藏了一些"adminarea.php"URL,如果"他们"可以通过重定向、框架(urgh)、htaccess重写或其他你发明的不向他们显示某些URL的糟糕方法访问管理区域,那么他们仍然可以访问管理区域,在那里他们可能会造成严重破坏,所以它对他们来说是存在的,对黑客来说也是如此。(URL毫无意义,它是带有DB查询等的实际脚本,需要安全)。
暴力和黑客攻击可以通过通常久经考验的安全方法来解决(我的意思是,你可以做到最好),使用正确的登录系统,每个用户使用bcrypt/blowfish/随机盐或类似的密码标准(而不是MD5或SHA),让用户正确使用PDO/MYSQLI,选择至少X个字符,一个大写字母和一个数字,在对任何用户输入进行任何操作之前,请使用strlen、is_numeric和一些正则表达式对其进行验证,以清除坏字符(等等)。