Dedecms织梦安全设置之如何防止挂木马与sql注入

作者：袖梨 2022-06-25

1、网站在安装的时候，可以把网站表的默认前缀dede_,改成其它的比如dule_,随便一个都可以的。
2、将网站的后台登录地址更换，dedecms的后台默认登录地址是http://www.你的网址/dede,可以把dede文件夹换成其它名字。
3、降网站的默认管理员删了之后，新建一个自己专用的拥有全陪的权限帐号，密码最好是复杂一点。
4、网站安装好之后删除install文件目录
5、网站上面的用不到功能进行清理，比如会员，评论，等
6、多关注dedecms管网，如果出现安全补丁，及时进行身级。
7、最近dedecms官网出一万能安全防护代码，可以登录官网站到论坛去下载。

8、可以根据自己的需要删除目录：member、special、company、plusguestbook

更要注意：文件管理器，这个是会通过hack挂马的：file_manage_control.php、file_manage_main.php、file_manage_view.php、media_add.php、media_edit.php、media_main.php

SQL命令运行器：dede/sys_sql_query.php

tag功能：tag.php

digg.php与diggindex.php

9、及时打补丁
第十、下载发布功能：我也忘记了(好像似soft_x_x.php)

10、万能安全防护代码：config_base.php在这里面设置

代码如下	复制代码
//禁止用户提交某些特殊变量 $ckvs = Array(‘_GET’,'_POST’,'_COOKIE’,'_FILES’); foreach($ckvs as $ckv){ if(is_array($$ckv)){ foreach($$ckv AS $key => $value) if(eregi(“^(cfg_\|globals)”,$key)) unset(${$ckv}[$key]); } }

改为这个：

代码如下

复制代码

//把get、post、cookie里的 $ckvs = Array('_GET','_POST','_COOKIE');
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(!empty($value)){
${$ckv}[$key] = str_replace(‘<'.'?','&'.'lt;'.'?',$value);
${$ckv}[$key] = str_replace('?'.'>‘,’?’.’&’.’gt;’,${$ckv}[$key]);
}
if(eregi(“^cfg_|globals”,$key)) unset(${$ckv}[$key]);
}
}
//检测上传的文件中是否有PHP代码，有直接退出处理
if (is_array($_FILES)) {
foreach($_FILES AS $name => $value){
${$name} = $value['tmp_name'];
$fp = @fopen(${$name},’r');
$fstr = @fread($fp,filesize(${$name}));
@fclose($fp);
if($fstr!=” && ereg(“ echo “你上传的文件中含有危险内容，程序终止处理！”;
exit();
}