php - 偽の管理者ログインの設定

php security xhtml

Paypalアカウントが侵害された後、私は少し偏執狂になり、私のサイトのすべてを保護したいと思いました。それらの1つには、admin /ページの名前を別の名前に変更することが含まれます。次に、ハニーポットのようなものを配置して、それらがどのIPからのものかを確認します。

    <?
// honeypot 

if($_POST['username']) { 
sleep(10);

$filename = "intruders.txt"; 
$date = date('l jS \of F Y h:i:s A');
$handle = fopen($filename,"a+");
$content = "Username: $_POST[username] , Password: $_POST[password]  $date ... from $_SERVER[REMOTE_ADDR] \n";
fwrite($handle,$content);
fclose($handle);

echo "<br/><b>Wrong username or password. Please try again</b><br/><br/>"; 

} 

?>


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>WHMCS - Admin alt</title>
</head>
<body>
<form id='login' action='index.php' method='post' accept-charset='UTF-8'>
<fieldset>
<legend>WHMCS Secure alt Login</legend> 
<label for='username' >Username*:</label>
<input type='text' name='username' id='username'  maxlength="50" />
<label for='password' >Password*:</label>
<input type='password' name='password' id='password' maxlength="50" />
<input type='submit' name='Submit' value='Submit' />
</fieldset>
</form>
<div id="footer">Copyright &copy; <a href="http://www.whmcs.com/" target="_blank">WHMCompleteSolution</a>.  All Rights Reserved.</div>
</body>
</html>


今の私の唯一の懸念は、このフォームがサイトにアクセスするために攻撃される可能性があるかどうかです。 SQLを使用したことがないため、SQLインジェクションは機能しないと思います。また、偽のテキストを出力するだけなので、出力にjsを挿入しません。その後、私は攻撃者が賢明になるかもしれない他に何も考えられません...

どう思いますか?それらを追跡するより良い方法があるでしょうか?
答え
ここにコードを投稿したので、驚きを台無しにしました。このコードを本番環境で使用する場合は、コードを変更して、Googleがそれほど簡単にならないようにします。

ノート:


sleep(10)-これにより、サーバーがサービス拒否攻撃に対して脆弱になります
現在のディレクトリ内のファイルへの書き込み-ファイルにログを記録する場合は、パブリックエリアにのみログを記録しないでください。訪問者が気にしない限り、IPアドレスなどの詳細を公開しないでください。
無制限のロギングによるサービス拒否(2)-フラッド保護はなく、入力は制限されません
パスワードのロギング-攻撃者がどこから来たのかを知りたい場合を除いて、私の意見では実際には効果的ではありません(メールアカウントのクラック、データベースの侵害など)。


私はこのようなハニーポットの使用を避けます。すべてのフォーム送信がクラッキングの試みであるとは限らないことに加え(ボットが単純なテキストの質問で「保護」されたフォームを送信するボットを見たことがあります)、悪意を持って訪問者に挑戦する可能性があります。リクエストとアクションの適切なロギングを行い、誰かにコードをレビューさせます。
関連記事

php - AJAXを介して大規模なデータセットを処理しても速度のメリットはありません

php - 変化しているファイルを恐れる

php - グループのFacebookアプリケーションを作成する方法

php - PHP変数をJavaScriptとJavaScriptのifステートメントに渡す[重複]

php - Codeigniterでのウォーターマークの回転

php - コメントの投稿後にユーザーをリダイレクトする方法

php - Wordpress:実行時間の長いプラグインスクリプトによってブロックされたフロントエンド

php - 古いPHPコードをオブジェクト指向にするためのデザインパターン

php - PHP関数に渡された変数の名前を取得しますか?

php - PHPとinterbaseのヘルプ