简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
ホームページ
記事
に質問
コース
特集
ダウンロード
ゲーム
辞書
最近の更新

ホームページ  >  記事  >  バックエンド開発  >  DreamWeaver のセキュリティを強化する 3 つの推奨方法 CMS_PHP チュートリアル

DreamWeaver のセキュリティを強化する 3 つの推奨方法 CMS_PHP チュートリアル

WBOY
WBOYオリジナル
2016-07-13 10:31:07961ブラウズ

私が Web 開発を始めて以来、著者は他の人の Web サイトのセキュリティ アップグレードを頻繁に任されてきました。これらのタスクのほとんどは、攻撃のため、この問題やその他の問題が発生したためです。以下の著者は、DreamWeaver CMS を使用して構築された Web サイトに対して、いくつかのシンプルで効果的なセキュリティ対策を推奨しています。

1. データベーステーブルのプレフィックスワイルドカードを変更します

ここで説明されているプレフィックス ワイルドカードは、インストール中に入力されたデータベース テーブル名のプレフィックスを指すのではなく、システム ソース コード内の「#@_」文字列を指します。

ハッキングされた Web サイト上の多数の不明なファイルにデータベースを直接操作するためのコードが大量に記述されているのを見たことがあります。その中には、If を変更すると、テーブル上の操作にはすべて「#@_」という文字列が含まれていました。ソース コード内の @_" 文字列が削除されると、これらの出所不明のファイルは動作しなくなります。

2. バックグラウンド管理ディレクトリ名を変更します

Web サイトに侵入する場合、ハッカーは通常、SQL インジェクションを通じて Web サイト管理者のアカウントとパスワードを解読し、バックエンドにログインし、トロイの木馬をアップロードし、Web シェルを取得し、Web サイト全体を完全に制御するまで権限を昇格させます。管理者テーブルの名前と Web サイトのバックエンド管理ディレクトリの名前を変更できれば、ハッカーは管理者アカウントを取得したとしても、Web サイトの管理者アカウントをクラッキングすることはできなくなります。 Web サイトのバックエンド管理ディレクトリを知ることができないためです。

管理者テーブル名とバックグラウンド管理ディレクトリを変更する場合は、admin または manager キーワードを使用しないようにしてください。これにより、ハッカーによる解読の難易度が大幅に高まる可能性があります。データベース内の管理者テーブル名を変更した後は、ソース コード内の対応するテーブル名も変更する必要があることに注意してください。 DreamWeaver V5.7 では、合計 27 個の変更が必要です。「dede_admin」で検索すると置き換えることができるので、一つずつ説明しません。

3. データベースの初期接続設定ファイルを変更します

Dream Weaver の data/common.inc.php ファイルには、データベース接続情報が記録されていますが、この情報は平文であり、非常に安全ではありません。比較的安全にするための 2 つの方法を紹介します。

(1) 複数の変数 (数十、場合によっては数百) を追加します。これらの変数のうち実際に効果があるのは 6 つだけで、残りはハッカーの判断を混乱させるために使用されます。

(2) データを暗号化しますが、これにはウェブマスターが特定のプログラミング スキルを持っている必要があります。どの方法を使用する場合でも、データベース初期化クラスで対応する変更を行う必要がありますが、最初の方法ではいくつかの変数名を変更するだけで済み、比較的簡単です。

上記の 3 つの方法は、DreamWeaver CMS システムのセキュリティにおいて非常に重要な役割を果たすことができますが、多くの Web マスターの友人は Web サイトのセキュリティを向上させる方法を知りません。この記事が、Web サイトのセキュリティを実現するという夢を実現する多くの Web マスターの友人に役立つことを願っています。

その他注意すべき点は次のとおりです:

1. インストールが完了したら、ルートディレクトリのメンバー、スペシャル、インストールフォルダーを削除します
2. アップロード、画像、データ、テンプレットを読み取り可能、書き込み可能、​​および実行不可能に設定します
3. インクルード、プラス、バックグラウンド ファイル (デフォルトは dede) を読み取り可能、実行可能、ただし書き込み可能に設定しない
4. data/common.inc.php を読み取り専用に設定します
5. 背景の透かしをオフにする
6. 404 ページ設定

興味がありそうな記事

  • dedeCMS (Dreamweaver) Web サイトのサーバー ディレクトリのセキュリティ設定の経験の共有
  • Linux および Unix サーバー システムのセキュリティを強化する方法
  • PHP オブジェクト指向入門チュートリアルの推奨事項
  • PHP アップロードされたファイルタイプを判断するための最も安全で現実的な解決策
  • dedeCMS で画像をアップロードする際の UPLOAD FILETYPE NOT ALLOW エラーの解決策
  • Smarty テンプレートのプログラムで定義された定数を使用する方法
  • 方法dedeCMS のバックグラウンド ログイン ページを削除するには
  • http://www.bkjia.com/PHPjc/764141.html
www.bkjia.com

tru​​ehttp://www.bkjia.com/PHPjc/764141.html技術記事私が Web 開発を始めて以来、著者は他の人の Web サイトのセキュリティ アップグレードを頻繁に任されてきました。これらのタスクのほとんどは、攻撃のため、Dreamweaver CMS を通じて構築された Web サイトに対するものでした。
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
前の記事:ThinkPHP_PHP チュートリアルを使用するときにマスターする必要があるデバッグ方法次の記事:ThinkPHP_PHP チュートリアルを使用するときにマスターする必要があるデバッグ方法

関連記事

続きを見る