HTTP аутентификация безопасности

Question

Моему клиенту нужна простая CMS для баз данных быстрее, чем я могу справиться с входами и выходами, а также с недостатками безопасности глобальных регистров, внедрением sql и фильтрацией файлов cookie.

Я установил phpMyEdit и защитил страницу редактирования с помощью .htaccess. Для экспертов по безопасности это обеспечивает хотя бы умеренный уровень безопасности?

Answer 1

Все это сводится к тому, что никто здесь не может узнать, например, являются ли пароли безопасными или как-то вы запутались. Если вы хотите убедиться, что HTTP-аутентификация работает, то да, она работает. Вы также можете настроить его более чем просто, поэтому просто назвать его «htaccess security» неоднозначно. В общем, просто убедитесь, что вы не оставили никаких частей доступными для общественности, и что пароли не являются «123» или «qwerty», и у вас все будет хорошо (вероятно).

Answer 2

Я также рекомендую IP-защиту защищенных каталогов или файлов для администратора. Также я не могу быть в порядке с автоматизированными программами, просто вам нужно больше практиковаться, вы должны знать о наиболее часто используемых хитростях, просто читать больше и больше о внедрении SQL и так далее ... Удачи

Answer 3

Это умеренный уровень безопасности, да.

Атака, о которой вам нужно знать, это атака грубой силой, когда злоумышленник снова и снова пытается использовать разные комбинации имени пользователя и пароля. Чтобы это исправить, вы можете заблокировать пользователя после n (10 разумных) неудачных попыток входа в систему.

Существует множество способов настройки файлов htaccess в отношении действительных пользователей, но в зависимости от используемого вами источника, будьте особенно внимательны, если есть пользователи по умолчанию или пользователи гостевого типа, к которым ваш htaccess допускает.