Discuz!教程之禁止用戶非法直接訪問后臺的方法！

allthebest

Discuz!默認的后臺路徑是 http://你的域名/admin.php

因此很多站長不希望后臺直接暴露出來讓一些不法用戶嘗試登陸后臺，造成一些安全隱患；

隱藏后臺路徑一般有兩種思路，第一種就是直接修改admin.php文件名稱，但是這種方式，前后臺要修改的文件比較多，包括所有第三方模版都要修改，而且還會造成有時候安裝插件無法再使用問題；新一代黑客木馬大都注意到修改admin.php名稱的說。

另一種思路，就是對admin.php增加訪問權限，這就是本文要講的方法，具體操作如下：


三種修改方法按需要選擇其中一種即可。

都是修改 admin.php文件

A、必須在前臺登錄了，才能訪問后臺

在 $discuz->init(); 下方加入代碼

1. if(!$_G['uid']){
   
2.     header('HTTP/1.1 404 Not Found');
   
3.     header("status: 404 Not Found");
   
4.     echo '404 Not Found';
   
5.     exit;
   
6. }

復制代碼

B、必須在前臺登錄了，且uid=1，才能訪問后臺

在 $discuz->init(); 下方加入代碼

1. if($_G['uid']!=1){
   
2.     header('HTTP/1.1 404 Not Found');
   
3.     header("status: 404 Not Found");
   
4.     echo '404 Not Found';
   
5.     exit;
   
6. }

復制代碼

C、必須在前臺登錄了，且uid在指定范圍，才能訪問后臺

在 $discuz->init(); 下方加入代碼

1. $uids=array(1,2,3,99);
   
2. if(in_array($_G['uid'],$uids)){
   
3.     header('HTTP/1.1 404 Not Found');
   
4.     header("status: 404 Not Found");
   
5.     echo '404 Not Found';
   
6.     exit;
   
7. }

復制代碼

修改完成后，非法直接訪問后臺的用戶就直接報404錯誤了！

三墨

謝謝分享，用上了。

312196920

謝謝分享

9axl

感謝分享，已經(jīng)修改了。

Punkhippie

奇怪，使用第 3 種方法，UID 1 進入後臺還是報 404

allthebest

Punkhippie 發(fā)表于 2021-4-10 06:00
奇怪，使用第 3 種方法，UID 1 進入後臺還是報 404

沒理由，檢查一下各有權限進后臺的 UID 才使用吧！

dashen

Punkhippie 發(fā)表于 2021-4-10 15:00
奇怪，使用第 3 種方法，UID 1 進入後臺還是報 404

代碼要放在 $discuz->init(); 的下邊，你可能放上邊了

tkywr

dashen 發(fā)表于 2021-4-11 14:27
代碼要放在 $discuz->init(); 的下邊，你可能放上邊了

確實是，放在下邊第三種方法也報錯。
不過修改了下第二種方法實現(xiàn)了第三種功能：

1. if($_G['uid']!=1 && $_G['uid']!=2){
   
2.     header('HTTP/1.1 404 Not Found');
   
3.     header("status: 404 Not Found");
   
4.     echo '404 Not Found';
   
5.     exit;
   
6. }

復制代碼

cordless

allthebest 發(fā)表于 2021-4-10 17:06
沒理由，檢查一下各有權限進后臺的 UID 才使用吧！

第三種方法是不是邏輯錯了?
應該是not 搞成了有在列表的404

正確的:
$uids=array(1,2,3,99);
if !(in_array($_G['uid'],$uids)){
    header('HTTP/1.1 404 Not Found');
    header("status: 404 Not Found");
    echo '404 Not Found';
    exit;
}

志愿者

感謝樓主分享 用上了