- ベストアンサー
PHPの管理者ページのアクセス制限について
- PHPの管理者ページのアクセス制限について調べた結果、.htaccessを使用して特定のIPアドレスのみアクセスできるように設定する方法が推奨されています。
- 管理者用ページへのアクセスを制限するために、難解なディレクトリ名、phpファイル名、ID、パスワードを使用することも効果的です。
- 一般的には適切なセキュリティ対策を講じることが重要であり、特に管理者ページの認証には注意が必要です。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
IPなんて固定で運用していないと変わっちゃうからね。 都度変えるのはナンセンス。 確実にそのIPからしかアクセスしないっていうのであれば、それも設定しておけばいいと思うけど。 ディレクトリ構造、phpファイル名は関係ない。 その管理ページでログインしているかどうかを見るのがふつう。 セッションで管理することが多いかな? んで、もし外部からアクセスされては困るものに関しては公開ディレクトリより上に配置してphpで読み込んで表示する。 IDとパスワードはそりゃ難解のにするか、リトライの回数を制限しないとだめだよね。
その他の回答 (2)
- pringlez
- ベストアンサー率36% (598/1630)
>そこまで気負う必要はないのでしょうか? 簡単な構成ほどハッキングしやすく、複雑な構成ほどハッキングはしにくいというのは当たり前のことです。簡単なパスワードだったら銀行の口座だってハッキングしてお金を引き出し放題になります。 ハッキングされてもいいようなどうでもいいシステムだったら、ID「admin」、Pass「admin」でいいでしょう。 何が何でもハッキングされたくないのだったら、考えられる対策はすべてすべきでしょう。一番いいのは外部ネットワークと分離し、内部からしか接続できなくすることです。 システムの重要度を判断し、どの程度の対策が必要かを考え、判断するのはあなたです。
お礼
ご回答ありがとうございます! やはり、特に重要なのはIDとパスワードを難しいものにすることですかね・・・ >一番いいのは外部ネットワークと分離し、内部からしか接続できなくすることです。 内部からのみの接続ですか。 いまいちどのような仕組みにすれば良いのかわかりませんが、調べてみます! ご回答、ありがとうございました!
- t_ohta
- ベストアンサー率38% (5238/13705)
基本的には管理者用ID/Passで認証したら認証結果をセッションで管理し、管理者ページの各ページで認証済みユーザーのアクセスかチェックをしてから出力するようプログラムします。 そうすれば、管理者用ID/Passが流出したり破られたりしない限り管理者ページを見られる心配はありません。 但し、インターネット上で通信の内容を傍受される可能性はゼロではありませんから、重要な情報が扱われるのであればSSLで暗号化するといいでしょう。
お礼
ご回答ありがとうございます! やはりページごとのセッションでの管理が重要ということですね。 >重要な情報が扱われるのであればSSLで暗号化するといいでしょう。 クレジット情報等は扱いませんのでSSLは必要ないかもしれませんが、今後の為に勉強してみます。 ご回答、ありがとうございました!
お礼
ご回答ありがとうございます! なるほど、ディレクトリ構造は関係ないのですね。 プログラムについて教えてくれる教室で、CGIの授業も一緒に受講しており、 CGIではディレクトリ構造を複雑にするよう言われたため、 PHPでもてっきりそうなのかと思ってしまっていました・・・。 セッション管理とリトライ回数の制限は確かに必要ですね。 大変参考になりました!