DEDECMS如何防止入侵?最新萬能安全防護代碼解
分享
評論
贊0
DEDECMS如何防止入侵?最新萬能安全防護代碼解析
在國內的CMS中,用織夢DEDECMS作為建站內核的網站很多很多,其中有中型的企業網站,有小型的個人網站,也有更多的垃圾內容網站。使用人數越多,其安全性尤其需要重視。經常在論壇看到有些站長說自己的網站被掛馬,數據被刪除,更多的應該是被掛黑鏈接。Dedecms的安全問題從去年持續到今天依舊有不少的問題,今天小編貢獻一段比較有用的防護功能代碼,使得網站可以有更好的安全性能。對于這個原理來說,是防止別人通過sql注入漏洞,添加管理員后臺賬號密碼,然后往服務器或者空間里上傳PHP木馬,后門程序。從而在上傳PHP文件這個環節卡住入侵者,很多所謂的“黑客”都是用工具來掃描入侵,厲害點的人是不屑來黑我們的小網站的,所以我們一般做好安全防護就可以了。
具體方法如下:
為了讓大家的CMS更安全,有需要的手工在config_base.php里加上
打開
config_base.php
找到
復制代碼
//禁止用戶提交某些特殊變量
$ckvs = Array('_GET','_POST','_COOKIE','_FILES');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);
}
}
替換成下列代碼:
//把get、post、cookie里的<? 替換成 <?
$ckvs = Array('_GET','_POST','_COOKIE');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(!empty($value)){
${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);
${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);
}
if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);
}
}
//檢測上傳的文件中是否有PHP代碼,有直接退出處理
if (is_array($_FILES)) {
foreach($_FILES AS $name => $value){
${$name} = $value['tmp_name'];
$fp = @fopen(${$name},'r');
$fstr = @fread($fp,filesize(${$name}));
@fclose($fp);
if($fstr!='' && ereg("<\?",$fstr)){
echo "你上傳的文件中含有危險內容,程序終止處理!";
exit();
}
}
}
這樣處理之后,安全上理論上可中做到一勞永逸,但缺點是使用此功能后,不能在線上傳PHP文件,如果你的站點同時支持asp、aspx等,在此基礎上修改一下上述代碼即可。
猜你喜歡
評論(0人參與,0條評論)
發布評論
最新評論