欢迎光临杨雨的葡京赌场站!

杨雨个人网站-杨雨葡京赌场-杨照佳

杨雨葡京赌场网站

关注互联网和搜索引擎的葡京赌场网站

首页 > cms使用教程 > 织梦仿站教程 >

织梦Dedecms安全防范:如何防止挂木马与sql注入?

发布时间:2017-01-15  编辑:杨雨葡京赌场网站   点击:   

经常检查自己的dedecms网站,是否被挂黑链,,被挂是小事,如果被挂木马删程序的话不好了,严重一点的,网站的排名都会掉的,所以及时检查网站,也及给网站定时的备份,保证网站安全的运行,这些事情都会在意料之外发现的,做好防范措施。dedecms是一个开源的网站系统在国内使用的用户很多,因为开源所有经常给人有了注入的机会,如果我们不配置好安全或及时更新网站可能经常会被挂木马或病毒之类的,下面我来总结一些dedecms安全设置经验之谈。

1、 网站在安装的时候,可以把网站表的默认前缀dede_,改成其它的比如dule_,随便一个都可以的。
2、 将网站的后台登录地址更换,dedecms的后台默认登录地址是你的网址/dede,可以把dede文件夹换成其它名字。
3、 降网站的默认管理员删了之后,新建一个自己专用的拥有全陪的权限帐号,密码最好是复杂一点。
4、 网站安装好之后删除install文件目录
5、 网站上面的用不到功能进行清理,比如会员,评论,等
6、 多关注dedecms管网,如果出现安全补丁,及时进行身级。
7、 最近dedecms官网出一万能安全防护代码,可以登录官网站到论坛去下载。

8、可以根据自己的需要删除目录:member、special、company、plusguestbook

更要注意:文件管理器,这个是会通过hack挂马的:file_manage_control.php、file_manage_main.php、file_manage_view.php、media_add.php、media_edit.php、media_main.php

SQL命令运行器:dede/sys_sql_query.php

tag功能:tag.php

digg.php与diggindex.php

9、及时打补丁
第十、下载发布功能:我也忘记了(好像似soft_x_x.php)


10、万能安全防护代码:config_base.php在这里面设置

代码如下   复制代码  

//禁止用户提交某些特殊变量
$ckvs = Array(‘_GET’,'_POST’,'_COOKIE’,'_FILES’);
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(eregi(“^(cfg_|globals)”,$key)) unset(${$ckv}[$key]);
}
}

 

改为这个:

代码如下   复制代码  

//把get、post、cookie里的 $ckvs = Array('_GET','_POST','_COOKIE');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(!empty($value)){
${$ckv}[$key] = str_replace(‘‘,’?’.’&’.’gt;’,${$ckv}[$key]);
}
if(eregi(“^cfg_|globals”,$key)) unset(${$ckv}[$key]);
}
}
//检测上传的文件中是否有PHP代码,有直接退出处理
if (is_array($_FILES)) {
foreach($_FILES AS $name => $value){
${$name} = $value['tmp_name'];
$fp = @fopen(${$name},’r');
$fstr = @fread($fp,filesize(${$name}));
@fclose($fp);
if($fstr!=” && ereg(“ 本文地址:http://itbyc.com/web/dedecms/15175.html
转载请注明出处。

分享是一种快乐,也是一种美德:
评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)
博客首页 | WEB开发 | 网站运营 | CMS使用教程 滇ICP备14002061号-1