Ответы:
Если пароли вытащили, то без разницы как называть страницу админки.
Админка это не только admin.php. Предположим есть стандартный движок(Drupal или что то подобное). Доступ в админку осуществляется через admin.php. Вроде бы переименовали admin.php в в fffffuuuu.php, профит???? Не совсем. Как правила логика работы сосредоточена не в одном файле. И если есть исходник движка то кул хацкер, может поковырять исходники найти файлик вида engine.php (это я на бум написал) и выяснить что запрос вида engine.php?action=dropAllUser удаляет всех пользователей, и угадайте что он сделает?
А переименовывать все сколько либо значимые файлы, это гммм.... неудобно.
Так что лучше латайте дыры. И что еще за мода хранить пароли в куках? Вы точно понимаете что это значит? Может быть id сессии?
Часть нубо"хакеров" это отсеет. Они ткнутся в /admin.php, им покажет 404 и они решат, что лучше пойти пробовать свои способности на другом сайте.
Я всегда, если пишу админку, то использую сессии для входа в панель администратора. Так надежнее. Я могу ошибаться, но вроде сессию подделать нельзя. Потом нужно просто проверять существует ли сессия, т.е. зашел ли админ. А вход лишь один, форма для входа, где нужно знать логин и пароль. Придумайте его потяжелее. Желательно использовать буквы нижнего, верхнего регистра, числа, символы. Это не даст злоумышленнику отгадать пароль. Фильтруйте все переменные в админке, не используйте метода GET пи передаче данных. Лучше POST.
Переименовывание admin.php, конечно, снизит риск проникновения, но защитит ваш сайт на 100%.
Нужны другие методы.
Надо пихать админку в отдельный домен. У "В Контакте" админка admin.vkontakte.ru.
В admin.твой_домен.ru вложи файл .htaccess и посторонние не зайдут в Admin Панель. Вот пример защищенной админки: admin.vkontakte.ru будет 404 ошибка
14 лет назад