Где я должен поставить панель управления администратора?

Question

Я создаю сайт сообщества с использованием PHP / MySQL, я думал просто позволить администраторам войти в систему, когда обычные пользователи входят в систему, а затем предоставить им ссылку «Панель управления администратора». Так что панель управления платформой размещается на том же сайте. Это безопасно? Вместо администраторов должен быть другой «шлюз», т. Е. http://admin.example.com? Или я должен разместить панель управления в совершенно другом домене?

Спасибо за ваше время.

Answer 1

Наличие администраторов и обычных пользователей для входа в систему с использованием одной и той же формы не обязательно является менее безопасным, в зависимости от других ваших мер безопасности.Некоторые системы CMS, такие как Drupal, используют эту модель.

Лучше сосредоточиться на других вопросах безопасности, чем на безопасности через неизвестность .Вы ограничиваете входы администратора определенными IP-адресами?Вы блокируете пользователей после нескольких неудачных попыток входа?Вы поощряете / форсируете надежные пароли?И т.д.

Answer 2

Я вхожу в систему с правильным именем пользователя и паролем. Но у меня также есть дополнительный столбец в моей таблице пользователей для администраторов со значениями (трудно угадать) для «да» и «нет». Если пользователь входит в систему, я также проверяю этот столбец, и если значение равно «да», я проверяю другую таблицу на наличие прав администратора.

Но сама панель администратора находится в обычной папке, например: / admin. Как и следовало ожидать.

Answer 3

Я бы предпочел использовать каталог с ограниченным доступом, используя .htaccess.

Если пользовательский аккаунт администратора будет взломан, его доступ к ACP по-прежнему безопасен.