基于php-mysql的网站的管理和安全性

Question

我的问题是一个笼统的问题，因为我对应该做什么不了解！

我正在开发一个包含会员区的网站。 每个用户注册槽登录名和密码，可以访问的形式 ，使他们能够编辑和更新他们的个人页面。 非注册用户可以访问一些搜索引擎，以根据某些特征查找个人用户页面。

这个网站是用php开发的，现在通过Xampp托管在localhost中 。

我的问题是关于管理和安全性。

网站的管理将要求删除和更新用户在其个人页面上发布的数据。

所以现在在本地主机中，我只是通过phpMyAdmin来修改这些表。

-我可以在网站上线时做同样的事情吗？

-是否通过使用admin部件来使其比通过phpMyAdmin进入表更快？ 用户的密码已加密，以防万一数据被盗用，以防止他们使用，所以无论如何我不能使用他们的登录名和密码来连接个人页面以删除数据，以防万一他们遵守网站规则？

关于安全性，是否需要用我正在描述的网站类型保护带有.htaccess的文件？

我确保php脚本不受主要安全漏洞（ xss，sql注入，csrf，upload ）的侵害，但我不完全了解网站上线后还应该做什么。

例如，有一个mysql连接到数据库的密码：该密码像这样存储在“ databse.php”中

    $db = new Database('login', 'password', 'website'); 

当网站位于服务器上时，此密码有什么用，管理员以外的其他人是否可以访问服务器上的文件？

如您所见，我的问题有点困惑，因为当涉及从本地主机环境跳转到万维网时，我对管理和安全性的了解还不清楚！

谢谢你的帮助。

Answer 1

我认为您的工作很棒，但我建议您使用现有的CMS来改进PHP。 对于这样的网站，Drupal是一个不错的选择：)

如果您仍然有兴趣进行此操作，请查看会话-这就是您要开始的位置（每页的用户权限）。

Answer 2

网站上线时我可以做同样的事情吗？

是的 在您本地的phpmyadmin文件夹中，找到文件config.inc.php并更改$cfg['Servers'][$i]['host'] = 'localhost'; 它在您的实时mysql服务器地址上显示localhost。

Answer 3

1. 根据您网站的性质，非常需要.htaccess，您可以在其中阻止目录列表等，并且您的htaccess文件可以为执行恶意文件提供保护。
2. 尝试在密码中使用算法，即使用盐或哈希密码的sha256。

安全性必须存在，因为漏洞会使您的网站一团糟。