Dedecms织梦安全设置之如何防止挂木马与sql注入

时间：2022-06-25 19:30:32 编辑：袖梨来源：一聚教程网

1、网站在安装的时候，可以把网站表的默认前缀dede_,改成其它的比如dule_,随便一个都可以的。
2、将网站的后台登录地址更换，dedecms的后台默认登录地址是http://www.你的网址/dede,可以把dede文件夹换成其它名字。
3、降网站的默认管理员删了之后，新建一个自己专用的拥有全陪的权限帐号，密码最好是复杂一点。
4、网站安装好之后删除install文件目录
5、网站上面的用不到功能进行清理，比如会员，评论，等
6、多关注dedecms管网，如果出现安全补丁，及时进行身级。
7、最近dedecms官网出一万能安全防护代码，可以登录官网站到论坛去下载。

8、可以根据自己的需要删除目录：member、special、company、plusguestbook

更要注意：文件管理器，这个是会通过hack挂马的：file_manage_control.php、file_manage_main.php、file_manage_view.php、media_add.php、media_edit.php、media_main.php

SQL命令运行器：dede/sys_sql_query.php

tag功能：tag.php

digg.php与diggindex.php

9、及时打补丁
第十、下载发布功能：我也忘记了(好像似soft_x_x.php)

10、万能安全防护代码：config_base.php在这里面设置

代码如下	复制代码
//禁止用户提交某些特殊变量 $ckvs = Array(‘_GET’,'_POST’,'_COOKIE’,'_FILES’); foreach($ckvs as $ckv){ if(is_array($$ckv)){ foreach($$ckv AS $key => $value) if(eregi(“^(cfg_\|globals)”,$key)) unset(${$ckv}[$key]); } }

改为这个：

代码如下

复制代码

//把get、post、cookie里的 $ckvs = Array('_GET','_POST','_COOKIE');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(!empty($value)){
${$ckv}[$key] = str_replace(‘<'.'?','&'.'lt;'.'?',$value);
${$ckv}[$key] = str_replace('?'.'>‘,’?’.’&’.’gt;’,${$ckv}[$key]);
}
if(eregi(“^cfg_|globals”,$key)) unset(${$ckv}[$key]);
}
}
//检测上传的文件中是否有PHP代码，有直接退出处理
if (is_array($_FILES)) {
foreach($_FILES AS $name => $value){
${$name} = $value['tmp_name'];
$fp = @fopen(${$name},’r');
$fstr = @fread($fp,filesize(${$name}));
@fclose($fp);
if($fstr!=” && ereg(“ echo “你上传的文件中含有危险内容，程序终止处理！”;
exit();
}

}}

11、定期做好备份

12、那些文件该设置可读，那些可以可读跟写入

13.大多数被上传的脚本集中在plus、data、data/cache三个目录下，请仔细检查三个目录下最近是否有被上传文件,设置此目录权限。

最后谨记一点经常检查自己的网站，是否被挂黑链，，被挂是小事，如果被挂木马删程序的话不好了，严重一点的，网站的排名都会掉的，所以及时检查网站，也及给网站定时的备份，保证网站安全的运行，这些事情都会在意料之外发现的，做好防范措施。

推荐专题

最新下载

热门教程

Dedecms织梦安全设置之如何防止挂木马与sql注入

相关文章

热门栏目

php教程

asp.net教程

手机开发

css教程

网页制作

办公数码

jsp教程