HTML中的超級用戶面板 - 安全性？

Question

我有一個網站，有一個數據庫，包含典型的用戶數據，名稱，貝寶電子郵件等。

我正在考慮在網站上編寫客戶服務面板，在那裏我可以有一個「超級」我登錄到網站，我可以查看任何用戶信息並進行編輯（是的，密碼被散列，我不會查看或編輯這些信息）。

這是我的問題。比如說我想通過IP來禁止用戶。我知道我可以登錄我的服務器並查看數據庫並找到IP，然後「禁止」它們，但擁有隻顯示信息的帳戶會更容易。

我的問題是「超」用戶的東西在任何方式不太安全？當然所有的檢查都在PHP服務器端代碼中，但我想就此提出一些意見。

謝謝。

更新

我可能沒有的一直在這個問題的第一部分，那麼清晰。例如這裏是一個截圖普通用戶接觸頁面

http://s1.postimg.org/ex608kkdb/image.png

，這裏是「超級」的用戶的照片聯繫頁面

http://s1.postimg.org/qnjxpyd5r/image.png

這基本上可以讓我向人們作出反應在我的帳戶，而不必登錄到我的服務器，並通過聯繫人日誌等

這是通過我這樣做在PHP代碼

$stmt = $conn->prepare("select username from usernames where " . $number . " = '$session'"); 
$stmt->execute(); 
$row = $stmt->fetch(); 
$username = $row[0]; 

if ($username == "zmhtech") { 
$text = "the html to make the listbox and extra textareas"; 
echo $text; 
} 

我的問題是這是否比沒有超級用戶帳戶更危險，只是手動編輯我的服務器上的聯繫人文件？

我打算爲數據庫信息和帳戶禁用做另一個，但我想確保這是安全的。

的HTML的功能（如讀取聯繫人，寫接觸是在PHP以及，他們是在這個超級用戶帳戶沒有客戶端代碼）

感謝您的幫助。

Answer 1

我將建立它的方式，

是你的用戶（會員），一個用於管理員一個登錄系統，完全獨立的，單獨的會話數據等等，那麼你只需要設置登錄會話的方式管理員的數據（例如登錄爲），並且您不需要其帳戶的密碼。

正如我在評論中提到的那樣，專業產品就是以這種方式構建的，並且肯定能夠以用戶身份登錄。

爲了安全起見，您絕對不應該存儲用戶信息，例如密碼未加密，您也不應該在沒有適當的安全措施的情況下存儲CC數據或其他信息，如社會安全號碼。

然後管理員看到他們的帳戶沒有問題。只要管理員登錄和他們的登錄一樣強大（希望更多），那麼這裏就沒有問題了。安全性與其最薄弱的環節一樣強大。通常情況下，有人通過安裝在客戶端機器上的網絡釣魚，社交工程或鍵盤記錄器發放憑證。沒有哪一個你可以做任何事情。