Dedecms织梦安全设置之如何防止挂木马与sql注入
发布:smiling 来源: PHP粉丝网 添加日期:2014-03-16 17:46:24 浏览: 评论:0
dedecms是一个开源的网站系统在国内使用的用户很多,因为开源所有经常给人有了注入的机会,如果我们不配置好安全或及时更新网站可能经常会被挂木马或病毒之类的,下面我来总结一些dedecms安全设置经验之谈.
1、网站在安装的时候,可以把网站表的默认前缀dede_,改成其它的比如dule_,随便一个都可以的。
2、将网站的后台登录地址更换,dedecms的后台默认登录地址是http://www.你的网址/dede,可以把dede文件夹换成其它名字。
3、降网站的默认管理员删了之后,新建一个自己专用的拥有全陪的权限帐号,密码最好是复杂一点。
4、网站安装好之后删除install文件目录
5、网站上面的用不到功能进行清理,比如会员,评论,等
6、多关注dedecms管网,如果出现安全补丁,及时进行身级。
7、最近dedecms官网出一万能安全防护代码,可以登录官网站到论坛去下载。
8、可以根据自己的需要删除目录:member、special、company、plusguestbook
更要注意:文件管理器,这个是会通过hack挂马的:file_manage_control.php、file_manage_main.php、file_manage_view.php、media_add.php、media_edit.php、media_main.php
SQL命令运行器:dede/sys_sql_query.php
tag功能:tag.php
digg.php与diggindex.php
9、及时打补丁
第十、下载发布功能:我也忘记了(好像似soft_x_x.php)
10、万能安全防护代码:config_base.php在这里面设置,代码如下:
- //禁止用户提交某些特殊变量
- $ckvs = Array(‘_GET’,'_POST’,'_COOKIE’,'_FILES’);
- foreach($ckvs as $ckv){
- if(is_array($$ckv)){
- foreach($$ckv AS $key => $value)
- if(eregi(“^(cfg_|globals)”,$key)) unset(${$ckv}[$key]);
- }
- }
改为这个,代码如下:
- //把get、post、cookie里的 $ckvs = Array('_GET','_POST','_COOKIE');
- foreach($ckvs as $ckv){
- if(is_array($$ckv)){
- foreach($$ckv AS $key => $value)
- if(!emptyempty($value)){
- ${$ckv}[$key] = str_replace(‘<'.'?','&'.'lt;'.'?',$value);
- ${$ckv}[$key] = str_replace('?'.'>‘,’?’.’&’.’gt;’,${$ckv}[$key]);
- }
- if(eregi(“^cfg_|globals”,$key)) unset(${$ckv}[$key]);
- }
- }
- //检测上传的文件中是否有PHP代码,有直接退出处理
- if (is_array($_FILES)) {
- foreach($_FILES AS $name => $value){
- ${$name} = $value['tmp_name'];
- $fp = @fopen(${$name},’r');
- $fstr = @fread($fp,filesize(${$name}));
- @fclose($fp);
- if($fstr!=” && ereg(“$fstr)){
- echo “你上传的文件中含有危险内容,程序终止处理!”;
- exit();
- }
- }}
11、定期做好备份
12、那些文件该设置可读,那些可以可读跟写入
13.大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件,设置此目录权限。
最后谨记一点经常检查自己的网站,是否被挂黑链,被挂是小事,如果被挂木马删程序的话不好了,严重一点的,网站的排名都会掉的,所以及时检查网站,也及给网站定时的备份,保证网站安全的运行,这些事情都会在意料之外发现的,做好防范措施.
Tags: Dedecms 安全设置 木马 sql注入
相关文章
- ·dedecms漏洞防护(2013-11-15)
- ·DedeCMS Error: (PHP 5.3 and above) Please set request_or (2013-11-15)
- ·dedecms文章内容页中的收藏功能收藏的文章路径错误问题解决(2013-11-15)
- ·给织梦DedeCMS文章标题增加自动加长尾关键词的方法(2013-11-15)
- ·dedecms列表页上一页下一页翻页单独调用(2013-11-15)
- ·dedecms php.ini register_globals must is Off(2013-11-28)
- ·dedecms 问答系统如何取消积分与用户登陆验证(2013-11-28)
- ·dedecms上传图片文件时提示 Upload filetype not allow(2013-12-04)
- ·DedeCMS图集中缩略图不能显示的解决方法(2014-01-09)
- ·安装dedecms:Call to undefined function get_magic_quotes_gpc()(2014-01-09)
- ·Dedecms怎么在首页调用最新评论(2014-01-09)
- ·dedecms自定义模型之独立模型在首页、列表页、内容调用内容(2014-03-11)
- ·织梦DedeCMS子目录移动到根目录的方法(2014-03-11)
- ·DEDECMS织梦短标题标签调用与字数修改方法(2014-03-11)
- ·织梦DedeCMS列表摘要 description 长度控制方法(2014-03-11)
- ·dedecms5.6,5.7去掉系统默认的友情链接链(2014-03-11)
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)