Dedecms织梦安全设置之如何防止挂木马和sql注入

发布时间：2021-12-04 09:29 所属栏目：19 来源：互联网

导读：dedecms是一个开源的网站系统在国内使用的用户很多,因为开源所有经常给人有了注入的机会,如果我们不配置好安全或及时更新网站可能经常会被挂木马或病毒之类的,下面我来总结一些dedecms安全设置经验之谈. 1、网站在安装的时候,可以把网站表的默认前缀dede_,改

dedecms是一个开源的网站系统在国内使用的用户很多,因为开源所有经常给人有了注入的机会,如果我们不配置好安全或及时更新网站可能经常会被挂木马或病毒之类的,下面我来总结一些dedecms安全设置经验之谈.

1、网站在安装的时候,可以把网站表的默认前缀dede_,改成其它的比如dule_,随便一个都可以的。

2、将网站的后台登录地址更换，dedecms的后台默认登录地址是http://www.你的网址/dede,可以把dede文件夹换成其它名字。

3、降网站的默认管理员删了之后，新建一个自己专用的拥有全陪的权限帐号，密码最好是复杂一点。

4、网站安装好之后删除install文件目录

5、网站上面的用不到功能进行清理，比如会员，评论，等

6、多关注dedecms管网，如果出现安全补丁，及时进行身级。

7、最近dedecms官网出一万能安全防护代码，可以登录官网站到论坛去下载。

8、可以根据自己的需要删除目录：member、special、company、plusguestbook

更要注意:文件管理器，这个是会通过hack挂马的：file_manage_control.php、file_manage_main.php、file_manage_view.php、media_add.php、media_edit.php、media_main.php

SQL命令运行器：dede/sys_sql_query.php

tag功能：tag.php

digg.php与diggindex.php

9、及时打补丁

第十、下载发布功能:我也忘记了(好像似soft_x_x.php)

10、万能安全防护代码：config_base.php在这里面设置,代码如下:

//禁止用户提交某些特殊变量
$ckvs = Array(‘_GET’,'_POST’,'_COOKIE’,'_FILES’);
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(eregi(“^(cfg_|globals)”,$key)) unset(${$ckv}[$key]);
}
}

（编辑：ASP站长网）