为php网站创建一个安全的仅管理部分

Question

我创建了一个网站，我想为它创建一个控制面板。除了明显的管理员登录之外，您能否列出一些常用做法，以使这部分网站更安全？我的意思是这些页面中使用的技术与普通（用户）页面中使用的技术不同。

Answer 1

您希望专注于保护您的凭据安全：

• 对发送到服务器的任何内容使用htmlspecialchars（）以防止XSS。
• 为您的用户使用SHA1（）+ Salt等cryptogrpahic函数 密码。
• 使用Anti-CSRF令牌。
• 使用Paramaterized Queries或Prepared Statements进行数据库调用。
• HTTPS永远不会伤害。