Savemode und Admin-Interface

2

2Pac

Erfahrenes Mitglied
Hallo!

Ich habe zur Zeit eine Liga Homepage. Diese soll aber ein wenig umprogrammiert werden, wenn das neue Design Ende Juni fertig sein wird. Und mithin dieser umprogrammierung will ich die Page sicher machen für nicht authorisierte User.

Es gibt ein Admin interface über welches ich alles wichtige bearbeiten kann.

Könnt ihr mir Tipps geben wie ich dieses am sichersten gestalten kann vom Aufbau. Ich meine es funktioniert im Moment aber um so mehr User desto unsicherer könnte es werden.

Zumal wie kann cih den Savemode für ein Server anmachen und was muss cih dahingehend dann beachten z.b. bei Übergaben von Daten per Formular oder an die Datenbank? Bzw. das Abholen dieser Daten wiederum aus der Datenbank?

MfG 2Pac
 
Ja gut ich auch nicht,m oder habe ich das etwas irgendwo behauptet?
Naja ich meinte nur, dass der Grundgedanke schon erschrekend ist, und man das ganze auch lösen kann.

Kommando zurück!

Sorry! -> War nicht ganz drauf konzentriert.
 
Hallo!

Also ich wollte ja nur wissen, wie ich ein Admin Interface vom Login her aufbaue, um eventuelle unerwünschte Zugriffe von Usern auszuschließen.

Wie würdet ihr z.b. ein Login aufbauen, welches zwischen normalen Usern und Admins unterscheiden soll? Wenn ich z.b. dann einfach nur nach dem Login sage Adminfunktionen als link. Dort sind dann wiederum Links zu spielerautauschen.php , spiellöschen.php usw. Das wäre ja nicht wirklich sicher, weil diese Seiten ja durchaus durch probieren herausgefunden werden sollen.

Ich habe in diesen Seiten zwar trotzdem im Moment noch eine Abfrage an die Userdatenbank ob es ein Admin ist, aber ich glaube kaum das das im Endeffekt hundert pro sicher ist ?

Wäre sehr dankbar über konstruktive Beiträge zum Thema ;)

MfG 2Pac
 
Beim Login startest du eine Session und speicherst dort ab, ob es sich um einen administrativen Nutzer handelt oder um einen normalen. In den zu schützenden Admin-Modulen musst du prüfen, ob die Session-Variable die Kennzeichnung als Administrator enthält. Wenn nicht, verweigerst Du weitere Codeausführung.

Sven
 
Und wie sieht das ganze mit dem Content aus ? Ist es sicherer wie ich es im Moment mache mit festgeschriebenen Links zu einer URL die per PHP ausgegeben werden oder wenn ich einfach statt der URL an die gleiche Admin Page weiterleite und dort in der URL ne Variable zur Erkennung was genau gemeint ist mitgebe?

z.b. Bei Newsposten admin.php?id=1

Oder gibt es eventuell noch eine bessere Lösung. Entschuldigung wenn ich ein wenig nerven sollte, aber die Sicherheit ist mir einfach ziemlich wichtig, weil ich keine Lust habe bei einer großen Liga mit Sponsoren dann viele Überraschungen zu erleben.

MfG 2Pac
 
snuu hat gesagt.:
Das Script ist mit nur einem Nutzer genau so (un)sicher, wie mit 1000. :)

Informationen über den Safe-Mode findest du unter folgendem Link:
--> http://www.php-faq.de/q/q-konfiguration-safe-mode.html

Sven
Zum Vergrößern anklicken....

Ich habe mir das einmal durchgelesen bezüglich des Savemodes. Aber so richtig schlau bin ich daraus nicht geworden, hilft es denn die Sicherheit von Daten zu steigern wenn ich diesen Modus anstelle ?

Wenn ja wie muss ich dann Formulare und Ihre Variablem behandeln , weil ich ahbe von einem Kumpel gehört die werden dort anders ausgelesen als normal ?

MfG 2Pac
 
Wie gesagt, generell musst Du sicherstellen, dass die geschützten Daten nur ausgegeben werden, wenn es sich um einen administrativen Benutzer handelt.

Der Safe_Mode wird Dir diese Arbeit nicht abnehmen, weil dieser dafür gedacht ist, sicherzustellen, dass auf einem Server mit mehreren Kunden nicht Kunde A die Daten des Kunden B löscht, überschreibt oder einsieht.

Sven
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück