后台管理最主要的是安全问题,程序代码和前端其实没有太大区别的,也就是数据库的读写更新删除之类的。
说到安全问题,我说一下我做的后台的一些体会吧
1.后台存放。很多人都喜欢把后台放在admin,adm等目录里,看上去好象很好记忆,但这样很容易就被猜解出后台管理地址。我一般都是取一些不太容易猜的名,像admkhjsdf之类的,虽然记起来麻烦些,但就安全的第一道门来说,来是有必要的
2.权限问题。做后台要实实想着权限问题,什么用户可以执行什么操作,什么用户绝对禁止进行哪类操作,都要做到心中有数,即使客户没有提出这样的要求,也要留着接口,以备日后扩充
3.文件问题。后台管理虽然功能要强大,可是我不主张放大多文件。比如用户管理模块,有添加用户,修改用户,删除用户等功能,有的人就做成N个文件,比如mem_add.asp,mem_modi.asp,mem_del.asp,这样一来一个程序逻辑性可能就差了,另一个维护起来也相当不方便,特别是你做好后台后可能要移交到别人手上的时候。我推荐的是放在一个文件中,把功能留到post的参数中,比如mem.asp?action=add mem.asp?acction=modi mem.asp?action=del这样的。还有就是文件名,像mem.asp这样的一看就知道是操作会员的程序文件,mem,member,adm_member这样的也很容易猜的。
4.登陆问题。建议采用session记录管理员信息,而不是采用cookies。虽然session也是建立在cookies基础上的,不过session最大的好处就是可以设置超时,一旦用户N久不用,就可视为自动退出后台管理。这样即使用户在网吧这样的环境中使用管理后台,也会把因忘记退出而导致密码泄漏的损失减到最小
5.密码存贮。没什么大提义,就是一句老生常谈,别偷懒,要用加密存贮,有条件的自己写加密算法。如果没有经验就使用常用的md5加密
6.注入问题。注入一直是写程序需要特别注意的,好的程序应该判断输入的参数,将非法参数屏蔽到底。如果出了错,不要去显示什么“参数非法”之类的提示,直接退出跳回管理首页,甚至跳回网站主页,不给非法用户可以利用的机会。告诉你个绝的办法,我常用的,一旦发觉程序有错,就显示404错误,一般人还以为文件不存在呢。至于怎么显示404错误,当然不是简单的跳转,这样一看就看出来了,具体办法么,呵呵,自己动动脑筋吧,说穿了其实一点也不难的。
7.数据库问题。如果是ACCESS,那只要防止数据库被意外下载就行了。如果是SQL,一定要把SQL用户权限整理好,不要和网站普通浏览用户混在一起,更不能直接用SA用户。通常好的程序是绝对不会用到sa的。
8.显示问题,用frame框架吧,用户使用起来也方便,结构也清楚
暂时就想到这么些,你可以参考一下动网,雷傲这样的后台,他们的写法就是很标准的
如果有什么想咨询的,就发我邮件吧peter0214@126.com