这可能是一个愚蠢的问题,但我需要探索每个选项,并且不能从谷歌这一点上微笑。希望这不是太过对话。
我正在考虑保护基于php / mysql的管理系统的选项。我想到的一件事是使用.htacess进行ip白名单,只允许我的客户端访问:
allow from xx.xx.xx.xxx
但我想知道另一种方法是否可能没有在线安装管理系统。是否可以在本地运行admin php(使用wamp),然后将其连接到实时数据库?
这是疯了吗?答案 0 :(得分:1)
我可以假设您的应用程序不是托管在您的客户端吗?因为如果是,那么你可以简单地将真正的应用程序放在面向互联网的DMZ和内部网中的管理应用程序中,而无需从互联网访问。
如果您的客户端未托管应用程序,那么基于IP的方法看起来不错。但是,您不应仅仅依靠IP保护作为身份验证机制,还应该使用登录表单来确保管理应用程序的安全性,并要求输入用户名和密码。如果您想要非常小心,可以考虑使用双因素身份验证(令牌或Google身份验证器)。
正如jraede已经指出的那样,使用远程数据库进行本地安装将是一个难以维护的问题。此外(并且最重要的)远程数据库意味着您需要可以从Internet访问数据库。如果可以避免,那应该是安全禁止。