[分享]Discuz X系列安全：后台admin.php跳转，防止直接恶意访问

使用过Discuz程序的朋友都知道，DZ的后台地址为 /admin.php 这个路径。所以有时候这个路径也会被一些不法分子利用，登录后台来获取一些敏感信息，或者穷举。所以要将这个机制给做一个修改。场景...

使用过Discuz程序的朋友都知道，DZ的后台地址为 /admin.php 这个路径。

所以有时候这个路径也会被一些不法分子利用，登录后台来获取一些敏感信息，或者穷举。

所以要将这个机制给做一个修改。

场景：当非管理员账号访问 admin.php 这个路径，全部跳转到首页（根目录）

方法：

在 admin.php 文件中，找到以下代码（Ctrl+F快捷搜索）

$discuz->init();

然后在这段代码的下方（换行即可），添加代码

if(!$_G['uid'] || !getstatus($_G['member']['allowadmincp'], 1)) {
header('Location: /');
}

该代码用于判定登录后台的会员级别，如果会员非管理员，则全部返回到首页。

如果想让非管理员访问到404就用下面的代码。

if(!$_G['uid'] || !getstatus($_G['member']['allowadmincp'], 1)) {
header("HTTP/1.1 404 Not Found");
header("Status: 404 Not Found");
exit;
}