我有一個網站,有一個數據庫,包含典型的用戶數據,名稱,貝寶電子郵件等。HTML中的超級用戶面板 - 安全性?
我正在考慮在網站上編寫客戶服務面板,在那裏我可以有一個「超級」我登錄到網站,我可以查看任何用戶信息並進行編輯(是的,密碼被散列,我不會查看或編輯這些信息)。
這是我的問題。比如說我想通過IP來禁止用戶。我知道我可以登錄我的服務器並查看數據庫並找到IP,然後「禁止」它們,但擁有隻顯示信息的帳戶會更容易。
我的問題是「超」用戶的東西在任何方式不太安全?當然所有的檢查都在PHP服務器端代碼中,但我想就此提出一些意見。
謝謝。
更新
我可能沒有的一直在這個問題的第一部分,那麼清晰。例如這裏是一個截圖普通用戶接觸頁面
http://s1.postimg.org/ex608kkdb/image.png
,這裏是「超級」的用戶的照片聯繫頁面
http://s1.postimg.org/qnjxpyd5r/image.png
這基本上可以讓我向人們作出反應在我的帳戶,而不必登錄到我的服務器,並通過聯繫人日誌等
這是通過我這樣做在PHP代碼
$stmt = $conn->prepare("select username from usernames where " . $number . " = '$session'");
$stmt->execute();
$row = $stmt->fetch();
$username = $row[0];
if ($username == "zmhtech") {
$text = "the html to make the listbox and extra textareas";
echo $text;
}
我的問題是這是否比沒有超級用戶帳戶更危險,只是手動編輯我的服務器上的聯繫人文件?
我打算爲數據庫信息和帳戶禁用做另一個,但我想確保這是安全的。
的HTML的功能(如讀取聯繫人,寫接觸是在PHP以及,他們是在這個超級用戶帳戶沒有客戶端代碼)
感謝您的幫助。
只要你在ssl上,並且你已經保護自己免受諸如xss或sql注入之類的攻擊,你應該沒問題。 –
我不會使用IP地址,但用戶本身。 IP地址總是可以被欺騙/修改。 –
幾個用戶管理系統,成員是一個,但它是一個約200美元的許可證。 – ArtisticPhoenix