Jak najlepiej zabezpieczyć strony do których dostęp ma mieć admin.

Question

Więc piszę sobie drobną stronę (taki mały projekt), na której znajduje się panel administratora, ale z kolei cała zawartość jest importowana z odrębnych plików (include), więc jako, że ogarnąłem już trochę dostępowości z sesją to napisałem drobny kod:

<?php
session_start();
if(isset($_SESSION['login_main'])) {
} else {
  header("Location: index.php");
}
?>

Zastanawia mnie czy jest to wystarczające zabezpieczenie, co wy  tym sądzicie ?

Answer 1

Dopóki odpowiednio nie zabezpieczysz cookie z sesją, to przejęcie takiej sesji jest proste. A jedyne sensowne zabezpieczenie cookie to słanie go z flagami http_only + secure (czyli trzeba mieć certyfikat SSL).

Answer 2

.htaccess :)

Comments

I jak to niby zabezpiecza?

---

allow from {ip}

deny from all

w katalogu panelu administracyjnego

---

A co jeśli mam zmienne IP? ;) A co jeśli ktoś będzie miał to samo IP (co w osiedlówkach czasami się jeszcze zdarza)?

---

W sumie racja :) To może w bazie danych dodać kolumnę "isAdmin" i sprawdzać to przy żądaniu?

Answer 3

<?php

session_start();
if(isset($_SESSION['login_main']))
{
echo "Jesteś Administratorem!";
} else
{
  header("Location: index.php");
exit;
}


?>