使用 codeigniter 构建的网站安全问题

Question

我在保护我的网站免受攻击方面遇到了问题。

首先，我的网站是在测试服务器中订购的，结构如下

当我必须为管理面板定义安全性时，问题就出现了。

我想要什么：

1. 避免在未登录站点的情况下直接访问控制器
2. 为了防止我的网站被黑客攻击
3. 为了保护我的数据库免受黑客攻击

我该怎么做？到目前为止，我所做的是：

在每个控制器中放置这段代码：

defined('BASEPATH') OR exit('No direct script access allowed');

我知道它应该防止直接访问控制器，但它不起作用...我可以访问而无需登录每个控制器中的每个功能..

我还编写了这个函数用于在会话中存储用户数据：

public function receiveLogin(){
    $this->load->library('form_validation');
    $this->load->library('session');
    $this->form_validation->set_rules('username', 'Username', 'required');
    $this->form_validation->set_rules('password', 'Password', 'required');

    if ($this->form_validation->run() == FALSE){
        $this->data['error_message'] = $this->form_validation->error_array();   
    }else{
        $username = $_POST['username'];
        $password = md5($_POST['password']);

        $user = $this->user_model->checkUserLogin($username,$password);

        if (!empty($user)){
            $admin_data = array(
                'admin_id' => $user->u_id,
                'admin_name' => $user->u_name,
            );
            $this->session->set_userdata($admin_data);
            redirect('admin/showDashboard');
        }else{
            $this->session->set_userdata('admin_id', 0);
            $this->data['error_message'] = 'Los datos de ingreso son incorrectos';
            redirect('login');
        }               
    }
}

我还为缩短 url 配置了路由，并且运行良好。

有人可以解释我如何完成我需要的吗？我发现的关于这方面的帖子并没有谈到我问过的这 3 个安全问题..

这方面的最佳做法是什么？

Answer 1

我从您的评论中注意到您不想在每个功能中都包含登录检查，这是可以理解的，但不是必需的。

请记住，控制器只是一个类，因此您可以在构造函数中进行登录检查：

public function __construct(){
    parent:__construct();
    $this->loggedIn();
}

记得重写父构造函数，否则你的控制器可能无法正常工作。

另请注意，这将对控制器中的所有功能进行登录检查，因此您需要为未登录页面设置单独的控制器。

另一种巧妙的方法是使用traits，您至少需要 php 版本 5.4，但它对于抽象这样的逻辑非常有用。您可以创建一个进行登录检查的特征，将其包含在需要身份验证的控制器中，然后只需调用 $this->loggedIn() 或您在控制器函数顶部调用的任何需要用户登录的函数，如果用户未登录，则让 trait 重定向用户

Answer 2

最简单的事情是把你的应用程序和系统文件夹放在公共 html 文件夹的上一层，然后就什么都不能访问了！

application/public_html/
system302/public_html/
         /public_html/index.php 

在您的 index.php 文件中

$application_folder = '../application';
$system_path = '../system302';

用于登录——将您的登录检查代码放在模型之类的地方，自动加载模型使其始终可用，然后在类构造函数中调用登录。然后类中的所有方法都受到保护，并且您不会在控制器中重复一堆会话检查代码。

Answer 3

您可以获得的最佳安全性将是使用 htaccess，因为我还看到您正在尝试为管理面板创建安全性，这取决于您使用控制器的方式（有些人使用管理控制器来管理他们的所有内容面板）我建议使用核心控制器。 在核心控制器内部，您使用以下代码：

class MY_Controller extends CI_Controller{

    function __construct(){
        parent::__construct();
        if($this->uri->segment(1) == "admin"){
            $this->checkLoginAdmin();
        }
    }

    function checkLoginAdmin(){
        if(isset(!$this->session->userdata('admin_id'))){
            $this->session->set_flashdata("message", "You must login first.");
            redirect("admin/login");
        }
    }
}

请记住，您需要为此加载 uri 帮助程序，具体取决于您使用的 codeigniter 版本，我建议将其放入 CodeIgniter 的自动加载程序中。同样取决于管理面板的 URL，一旦您的 url 看起来像这样，此代码就会起作用：www.example.com/admin

如果您没有登录，即使访问 www.example.com/admin/test 也是不允许的。

Answer 4

CodeIgniter 输入类有一个名为 is_ajax_request() 的方法用于此目的。

if ($this->input->is_ajax_request()) {
    //do something
} 
else {
    show_error("No direct access allowed");
    //or redirect
}