私が Web 開発を始めて以来、著者は他の人の Web サイトのセキュリティ アップグレードを頻繁に任されてきました。これらのタスクのほとんどは、攻撃のため、この問題やその他の問題が発生したためです。以下の著者は、DreamWeaver CMS を使用して構築された Web サイトに対して、いくつかのシンプルで効果的なセキュリティ対策を推奨しています。
1. データベーステーブルのプレフィックスワイルドカードを変更します
ここで説明されているプレフィックス ワイルドカードは、インストール中に入力されたデータベース テーブル名のプレフィックスを指すのではなく、システム ソース コード内の「#@_」文字列を指します。
ハッキングされた Web サイト上の多数の不明なファイルにデータベースを直接操作するためのコードが大量に記述されているのを見たことがあります。その中には、If を変更すると、テーブル上の操作にはすべて「#@_」という文字列が含まれていました。ソース コード内の @_" 文字列が削除されると、これらの出所不明のファイルは動作しなくなります。
2. バックグラウンド管理ディレクトリ名を変更します
Web サイトに侵入する場合、ハッカーは通常、SQL インジェクションを通じて Web サイト管理者のアカウントとパスワードを解読し、バックエンドにログインし、トロイの木馬をアップロードし、Web シェルを取得し、Web サイト全体を完全に制御するまで権限を昇格させます。管理者テーブルの名前と Web サイトのバックエンド管理ディレクトリの名前を変更できれば、ハッカーは管理者アカウントを取得したとしても、Web サイトの管理者アカウントをクラッキングすることはできなくなります。 Web サイトのバックエンド管理ディレクトリを知ることができないためです。
管理者テーブル名とバックグラウンド管理ディレクトリを変更する場合は、admin または manager キーワードを使用しないようにしてください。これにより、ハッカーによる解読の難易度が大幅に高まる可能性があります。データベース内の管理者テーブル名を変更した後は、ソース コード内の対応するテーブル名も変更する必要があることに注意してください。 DreamWeaver V5.7 では、合計 27 個の変更が必要です。「dede_admin」で検索すると置き換えることができるので、一つずつ説明しません。
3. データベースの初期接続設定ファイルを変更します
Dream Weaver の data/common.inc.php ファイルには、データベース接続情報が記録されていますが、この情報は平文であり、非常に安全ではありません。比較的安全にするための 2 つの方法を紹介します。
(1) 複数の変数 (数十、場合によっては数百) を追加します。これらの変数のうち実際に効果があるのは 6 つだけで、残りはハッカーの判断を混乱させるために使用されます。
(2) データを暗号化しますが、これにはウェブマスターが特定のプログラミング スキルを持っている必要があります。どの方法を使用する場合でも、データベース初期化クラスで対応する変更を行う必要がありますが、最初の方法ではいくつかの変数名を変更するだけで済み、比較的簡単です。
上記の 3 つの方法は、DreamWeaver CMS システムのセキュリティにおいて非常に重要な役割を果たすことができますが、多くの Web マスターの友人は Web サイトのセキュリティを向上させる方法を知りません。この記事が、Web サイトのセキュリティを実現するという夢を実現する多くの Web マスターの友人に役立つことを願っています。
その他注意すべき点は次のとおりです:
1. インストールが完了したら、ルートディレクトリのメンバー、スペシャル、インストールフォルダーを削除します
2. アップロード、画像、データ、テンプレットを読み取り可能、書き込み可能、および実行不可能に設定します
3. インクルード、プラス、バックグラウンド ファイル (デフォルトは dede) を読み取り可能、実行可能、ただし書き込み可能に設定しない
4. data/common.inc.php を読み取り専用に設定します
5. 背景の透かしをオフにする
6. 404 ページ設定
興味がありそうな記事
- dedeCMS (Dreamweaver) Web サイトのサーバー ディレクトリのセキュリティ設定の経験の共有
- Linux および Unix サーバー システムのセキュリティを強化する方法
- PHP オブジェクト指向入門チュートリアルの推奨事項
- PHP アップロードされたファイルタイプを判断するための最も安全で現実的な解決策
- dedeCMS で画像をアップロードする際の UPLOAD FILETYPE NOT ALLOW エラーの解決策
- Smarty テンプレートのプログラムで定義された定数を使用する方法
- 方法dedeCMS のバックグラウンド ログイン ページを削除するには
- http://www.bkjia.com/PHPjc/764141.html
unset()とsession_destroy()の違いは何ですか?May 04, 2025 am 12:19 AMthedifferencebetferencefued fieneunset()andsession_destroy()isthatunset()clearsspecificsessionvariablesはsessionactiveであり、ssession_destroy()ターミナテンテンセッション
負荷分散のコンテキストでの粘着性セッション(セッションアフィニティ)とは何ですか?May 04, 2025 am 12:16 AMStickysionsionsureuserRequestsoredtotheSameserverforsessiondataconsistency.1)Sessionidedificationisionidificationsisignivisionsignsignsuserstoserversusing okiesorurlmodifications.2)CondingRoutingDirectSSubSubSubsEntRequestStotheSameserver.3)LoadBalancingDistributeNewuser
PHPで利用可能なさまざまなセッション保存ハンドラーは何ですか?May 04, 2025 am 12:14 AMphpoffersvarioussionsionsavehandlers:1)ファイル:デフォルト、simplebutmaybottleneckonhigh-trafficsites.2)memcached:high-performance、yealforspeed-criticalapplications.3)redis:similartomcached、witordededpersistence.4)データベースの提供
PHPでのセッションとは何ですか?なぜそれらが使用されているのですか?May 04, 2025 am 12:12 AMPHPでのセッションは、サーバー側のユーザーデータを保存して、複数のリクエスト間で状態を維持するメカニズムです。具体的には、1)セッションはsession_start()関数によって開始され、データは保存され、$ _Sessionスーパーグローバルアレイを読みます。 2)セッションデータはデフォルトでサーバーの一時ファイルに保存されますが、データベースまたはメモリストレージを介して最適化できます。 3)セッションを使用して、ユーザーのログインステータス追跡とショッピングカート管理機能を実現できます。 4)セッションの安全な送信とパフォーマンスの最適化に注意を払い、アプリケーションのセキュリティと効率を確保します。
PHPセッションのライフサイクルを説明してください。May 04, 2025 am 12:04 AMphpssionsStartWithsession_start()、figenateAuniqueidandcreateSaServerfile; theySistacrossRequestsandcanbemanbemanBeithsession_destroy()
絶対的なセッションタイムアウトとアイドルセッションのタイムアウトの違いは何ですか?May 03, 2025 am 12:21 AM絶対セッションのタイムアウトはセッションの作成時に開始され、アイドルセッションタイムアウトはユーザーの操作なしに開始されます。絶対セッションタイムアウトは、金融アプリケーションなど、セッションライフサイクルの厳格な制御が必要なシナリオに適しています。アイドルセッションタイムアウトは、ソーシャルメディアなど、ユーザーが長い間セッションをアクティブに保つことを望んでいるアプリケーションに適しています。
セッションがサーバーで機能していない場合、どのような措置を講じますか?May 03, 2025 am 12:19 AMサーバーセッションの障害は、手順に従って解決できます。1。セッションが正しく設定されていることを確認するために、サーバーの構成を確認します。 2.クライアントCookieを確認し、ブラウザがそれをサポートしていることを確認し、正しく送信します。 3. Redisなどのセッションストレージサービスを確認して、それらが正常に動作していることを確認します。 4.アプリケーションコードを確認して、正しいセッションロジックを確認します。これらの手順を通じて、会話の問題を効果的に診断および修復し、ユーザーエクスペリエンスを改善することができます。
session_start()関数の重要性は何ですか?May 03, 2025 am 12:18 AMsession_start()iscrucialinphpformangingusersions.1)itInitiateSanewsessionifnoneExists、2)resumesanexistingsession、および3)SetSessionCookieforcontinuityAcrossRequests、ApplicationslicationSliviseSlikeUserauthicationAnticatent。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
SecLists
SecLists は、セキュリティ テスターの究極の相棒です。これは、セキュリティ評価中に頻繁に使用されるさまざまな種類のリストを 1 か所にまとめたものです。 SecLists は、セキュリティ テスターが必要とする可能性のあるすべてのリストを便利に提供することで、セキュリティ テストをより効率的かつ生産的にするのに役立ちます。リストの種類には、ユーザー名、パスワード、URL、ファジング ペイロード、機密データ パターン、Web シェルなどが含まれます。テスターはこのリポジトリを新しいテスト マシンにプルするだけで、必要なあらゆる種類のリストにアクセスできるようになります。
Safe Exam Browser
Safe Exam Browser は、オンライン試験を安全に受験するための安全なブラウザ環境です。このソフトウェアは、あらゆるコンピュータを安全なワークステーションに変えます。あらゆるユーティリティへのアクセスを制御し、学生が無許可のリソースを使用するのを防ぎます。
AtomエディタMac版ダウンロード
最も人気のあるオープンソースエディター
ドリームウィーバー CS6
ビジュアル Web 開発ツール
MantisBT
Mantis は、製品の欠陥追跡を支援するために設計された、導入が簡単な Web ベースの欠陥追跡ツールです。 PHP、MySQL、Web サーバーが必要です。デモおよびホスティング サービスをチェックしてください。
