php 目录限制,dedecms目录执行php脚本的限制方法

最新推荐文章于 2022-09-06 15:43:10 发布
最新推荐文章于 2022-09-06 15:43:10 发布
阅读量172 收藏
点赞数
文章标签: php 目录限制

本文谈谈DEDECMS的安全设置。

用dedecms的朋友一定有遇到过网站被挂马的事,不是每个页面中被添加很多链接,就是js中被加入恶意转向。

dedecms安全设置

1、尽可能的使用Linux主机纯PHP空间,Windows主机能运行ASP就多一份危险。

2、后台登录管理不要用admin为用户名 可以改成其他的。

3、data/common.inc.php文件属性(Linux/Unix)设置为644或(Windows NT)设置为只读。

4、针对uploads、data、templets 三个目录做执行php脚本限制。

5、不安装来路不明的模板,或者其他需要上传到FTP下的文件,要安装先杀毒再安装。

6、用最新版的程序,就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁。

7、能不用会员系统最好不要用,可以直接删除member 会员文件夹,后台关闭会员功能。

实在要用一定要设置 是否允许会员上传非图片附件 设置为否 对用户进行严格限制因为有很多垃圾注册机一天注册很多用户名。

推荐:删除member 会员文件夹 不使用会员系统。

虚拟主机/空间配置目录执行php脚本限制方法:

对uploads、data、templets 三个目录做执行php脚本限制,就算被上传了木马文件到这些文件夹,也是无法运行的所以这一步很重要一定要设置。

在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。

一、Apache环境规则内容如下:Apache执行php脚本限制 把这些规则添加到.htaccess文件中

复制代码 代码如下:

RewriteEngine on RewriteCond % !^$

RewriteRule uploads/(.*).(php)$ – [F]

RewriteRule data/(.*).(php)$ – [F]

RewriteRule templets/(.*).(php)$ –[F]

二、nginx环境规则内容如下:nginx执行php脚本限制

LNMP有一个缺点就是目录权限设置上不如Apache,有时候网站程序存在上传漏洞或类似pathinfo的漏洞从而导致被上传了php木马,而给网站和服务器带来比较大危险。

建议将网站目录的PHP权限去掉,当访问上传目录下的php文件时就会返回403错误。

首先要编辑nginx的虚拟主机配置,在fastcgi的location语句的前面按下面的内容添加:

复制代码 代码如下:

location ~ /(data|uploads|templets)/.*.(php|php5)?$ {

deny all;

}

进行以上配置之后,即便上传php文件到这些目录,也不会被执行了,网站安全得到了一定程度的加强。

张心欣
关注
IIS6、IIS7、IIS7.5取消服务器主机空间目录脚本执行权限的方法
09-30
例如,DedeCMS系统的data目录存储配置文件和缓存数据,uploads目录用于存放用户上传的文件,这两个目录都需要严格限制脚本执行,以防止潜在的安全威胁。除了这两个目录,其他生成纯静态HTML的目录也应该去除执行权限...
基于PHPDedecms管理员账号密码重置php文件(dedecms源码.zip
08-13
PHP(Hypertext Preprocessor)是一种广泛使用的开源服务器端脚本语言,特别适合于Web开发,可以嵌入到HTML中。PHP语法简洁且功能强大,支持多种数据库连接,如MySQL、PostgreSQL等,是构建动态网站和Web应用的首选...
禁止目录执行php
weixin_34356310的博客
12-20 221
我们设置网站权限的时候,有些目录不得不设置让http服务器有写入权限,这样安全隐患就来了。比如discuz x2的 data目录,这个必须要有写入限,论坛才能正常运行,但有的***可能就会利用这个目录上传php文件(你会说附件上传已经限制这种格式的文件,但谁知道***会利用什么手段上传呢,只有他们清楚了),进而到配置文件读取到mysql的连接信息...
限制php只能在当前目录执行
DCD的专栏
01-18 683
为了更加安全,需要限制虚拟站点目录下的php文件只能在当前站点下运行。 在nginx的站点配置文件里,php块,增加如下代码: fastcgi_param PHP_VALUE "open_basedir=/www/sitepath"; 通过只在当前站点配置open_basedir来限制,如果在php.ini配置,会影响所有站点。 就是不知道为什么,每次nginx reload后,php
php 目录限制,限定某个目录禁止解析php,限制user_agent,php相关配置
weixin_35094408的博客
03-11 200
11月20日任务11.28 限定某个目录禁止解析php11.29 限制user_agent11.30/11.31 php相关配置1.限定某个目录禁止解析php 核心配置文件内容 php_admin_flag engine offcurl测试时直接返回了php源代码,并未解析示例一:如下配置一下 mkdir /data/wwwroot/www.123.com/upload 创建一个图...
dede php标签 禁用,织梦DEDECMS在宝塔面板Nginx下设置指定目录禁止运行PHP方法
weixin_39982452的博客
03-09 610
在宝塔面板后台-网站,点击你需要设置的网站设置配置文件里面。找到#PHP-INFO-START PHP引用配置,可以注释或修改,在它上面添加:location ~* /(data|templets|uploads)/(.*).(php)$ {return 403;}其中红色文字是你需要禁止运行PHP的文件夹名称,你可自行添加或者删除。如下图所示:保存。在软件管理里面重起Nginx服务。随意新建...
php apache目录权限设置win,win下如何配置apache+php使user目录运行php脚本
weixin_39576149的博客
03-31 163
我的apache+php安装在C:\ProgramFiles\LocalHost目录下,主目录doc_root也在这个目录下面,我已经配置好在主根目录,能运行各种php脚本没有问题。但是,现在我想配置用户目录,使得用户目录也能执行php脚本。我的配置方法是:文件:php.iniuser_dir=D:\Downloads\User\Userdir(并在userdir下建立sisy目录,作为单个...
基于PHP的带数据dedecms趣事多多模板 php版 v1.0.zip
07-24
在实际应用中,这可能是模板的某个组成部分,如图片、CSS样式表、JavaScript文件、PHP脚本或者数据库配置文件等。由于具体文件内容未知,我们只能推测它在模板中的作用,可能是模板的某个特色功能或者页面的一部分。...
基于PHP的58安卓网dedecms模板php版v1.0源码.zip
07-22
PHP(Hypertext Preprocessor)是一种广泛使用的开源服务器端脚本语言,尤其适合Web开发。它的语法吸收了C语言、Java和Perl的特点,使得学习PHP变得相对容易。PHP的主要功能是嵌入到HTML中,用于生成动态网页内容。...
基于PHPdedecms笑话模板(带手机wap版)php版源码.zip
最新发布
08-13
【标题】中的“基于PHPdedecms笑话模板(带手机wap版)php版源码.zip”表明这是一个使用PHP编程语言开发的网站模板,专用于dedecms内容管理系统,并且支持移动设备的WAP(无线应用协议)版本。 dedecms(又名DEDECMS...
利用伪静态功能禁止织梦危险目录运行php脚本
jjj22的专栏
08-14 737
① linux主机的用户一般都是apache环境,使用 .htaccess 文件来设置,如果你网站根目录已经存在这个文件,那就复制一下代码添加进去。 RewriteEngine on #安全设置 禁止以下目录运行指定php脚本 RewriteCond % !^$ RewriteRule a/(.*).(php)$ – [F] RewriteRule data/(.*).(php)$ – [F] RewriteRule templets/(.*).(php|htm)$ – [F] RewriteRule
iis php目录权限,web安全设置(含IIS,php,ASP.NET)与目录权限设置
weixin_39837867的博客
03-10 226
这些天搞网站入侵,其中碰到了星外(STAROUT)虚拟主机系统,了解它的安全性,也碰到了一些管理员低级错误。既然老搞别人的站,那也来总结一下如何自己弄一个安全的站吧。先说下原则:1.web一定要用一个guests组里面的用户(USERS权限还是高了。默认IUSER_XXXX用户权限高了)。2.web目录单独设置权限,php目录单独设置权限(PHP.EXe目录)3.各盘一定要删除USERS组、eve...
网站目录禁止执行php,禁止网站目录php脚本执行权限的配置方法
weixin_29074295的博客
03-09 1949
在安装完织梦DedeCMS后,进入后台主页会有安全提示uploads、data目录PHP执行权限,我们可以用.htaccess文件来禁止指定目录执行权限,在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本运行效果。方法如下,新建.txt记事本文档,将下面内容复制粘贴到记事本,另存为的时候,编码选ANSI类...
php上传禁止php_如何在Apache和Nginx禁止上传目录PHP执行权限
weixin_35971306的博客
03-09 266
Apache下禁止指定目录运行PHP脚本在虚拟主机配置文件中增加php_flag engine off指令即可,配置如下:Options FollowSymLinksAllowOverride NoneOrder allow,denyAllow from allphp_flag engine off另外一种方法,是设置在htaccess里面的,这个方法比较灵活一点,针对那些没有apapche安全操...
如何防止dedecms织梦网站的模板泄露被别人盗用
09-06 215
最近技术接到一个网站仿制,无意间发现目标站是模板目录没有设置保护导致模板文件直接暴露。那么通过浏览器去访问www.91084.com/templets/default/防止别人去运行目录下的php或者htm文件,更有效的去仿制网站被黑被修改快的风险。如果你的网站模板是默认模板的话一定要仿制他人把你辛辛苦苦改好的模板直接给盗用走。上面例子为我们官方例子已经设置了伪静态所以大家是访问不到的。所以大家可以用伪静态去不让别人访问这个目录。就可以直接获取到网站的首页模板。下面伪静态是apache的规则。
PHP上传目录禁止执行php文件的方法
美奇软件开发工作室
10-10 2013
导读: 禁止上传目录运行php等可执行文件,可以从一定程度上增加网站的安全性。 禁止上传目录运行php方法一共有下面三种。 需要防范的PHP文件有三种类型: 第一种类型. 正常php文件 a.php 第二种类型. php扩展名有大小写 a.pHp a.PHP a.Php 第三种类型. 双重扩展名文件 a.php.a a.php.xml 说明:通常只考虑防范第一种,渗透攻击常使用第二种和第三种。 【同时防范三种...
DEDECMS做好安全防护,8步法!
xueweidng的专栏
05-19 677
dedecms是一个非常好的CMS程序,现在最新版本是5.7。经过很多版本的升级和功能添加,dedecms仍然存在很多问题如如何做目录执行php脚本限制方法。这里不是说dedecms不好,相对来说dede还是很好的,简单容易用,造福了许许多多中小站长。     今天青岛网站建设来谈谈dedecms安全设置的问题,用dedecms的朋友一定有遇到过网站被挂马的事,不是每个页面中被添加很多链接就
目前data、uploads有执行.php权限,非常危险,需要立即取消目录执行权限
penjie0418的专栏
07-06 9684
1.目前data、uploads有执行.php权限,非常危险,需要立即取消目录执行权限! 2.强烈建议data/common.inc.php文件属性设置为644(Linux/Unix)或只读(NT); 3.强烈建议将data目录搬移到Web根目录以外; 对于这三个问题,相信很多站长都很头痛。即使织梦官方也有不少教程,但看得明白的没有多少。百度了很久没有找到好的答案,我也是菜鸟,弄了一个
Apache中 RewriteRule 规则参数介绍
weixin_30617561的博客
10-15 690
Apache中 RewriteRule 规则参数介绍 摘要:Apache模块 mod_rewrite 提供了一个基于正则表达式分析器的重写引擎来实时重写URL请求。它支持每个完整规则可以拥有不限数量的子规则以及附加条件规则的灵活而且强大的URL操作机制。这里着重介绍 RewriteRule 规则以及参数说明。 Apache模块 mod_rewrite 提供了一个基于正则表达式分析器的重写...
阿里云PHP防注入脚本:实战防止XSS和CSRF攻击
首先,要实现这个防护,用户需要将`waf.php`文件上传到需要包含该脚本的网站目录。对于特定页面的保护,有两种方法: 1. **局部防护**:在需要保护的页面中引入防护代码,例如,在页面顶部添加 `require_once('waf....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值