0

現在、joomla の mysqluser: INSERTUPDATEDELETEおよびに設定されている基本的な特権のみを持っていSELECTます。

しかし実際には、このユーザーがサイト全体で使用されている場合、ハッカーがそれを取得する方法やクエリを制御する方法 (SQL インジェクション) を見つけた場合、Web サイトのコンテンツ全体を削除することができます。

私の考えは、joomla に 2 人の異なる mysql ユーザーを持つことです。1 つはフロントエンドでユーザーに、もう 1 つはバックエンド (/administrator) で使用されます。実際、管理者には私が現在使用している権限が必要ですが、フロントエンド ユーザーには、バナーやセッションなどの特定のテーブルに対する SELECT といくつかの UPDATE および INSERT 権限のみが必要です。

パラノイアに聞こえるかもしれませんが、現在私が取り組んでいるプロジェクトでは、この種の「パラノイア」アプローチが必要です。

Joomla の専門家がこれを達成するのに役立つと期待しています。

4

1 に答える 1

0

まず、質問で Joomla 1.7 タグを使用していることを確認しましたが、Joomla 2.5 シリーズの最新バージョンである 2.5.9 を実行していることを確認してください。

私が読んだことから達成しようとしているのは、フロントエンドにのみログインできるユーザーとバックエンドにログインできるユーザーの 2 人のユーザーが必要なことです。これは現在 Joomla で利用可能であり、コア コードの変更が必要になるため、お勧めしません。私が回答した別の質問を読んで、セキュリティに役立つ情報と優れた拡張機能を提供してください。

ジュムラ!2.5.4 ハッキング: 診断に問題がある

次に、別の管理者アカウントを作成し、そのアカウントのみを使用してバックエンドにログインします。

于 2013-04-08T12:30:57.983 に答える