服务器安全文件,服务器安全 - FastAdmin框架文档 - FastAdmin开发文档

最新推荐文章于 2024-06-11 17:15:40 发布
最新推荐文章于 2024-06-11 17:15:40 发布
阅读量326 收藏
点赞数
文章标签: 服务器安全文件

服务器安全

文档最后更新时间:2020-10-01 20:48:12

服务器安全涉及目录安全、站点配置、安全组等多方面。

目录安全

目录安全在是经常容易生产问题的一个环节,很多时候我们都会忽略或忘记进行站点目录安全的配置。

我们建议在生产环境只开放uploads和runtime目录的读写权限,其次还需要关闭uploads目录执行PHP的权限,因为很多时候用户上传恶意脚本,而服务端uploads目录又未屏蔽PHP,导致用户数据泄漏丢失。

通常情况在生产环境下建议使用chown www:www /var/www/yoursite -R

chmod 555 /var/www/yoursite -R

chmod u+w /var/www/yoursite/runtime -R

chmod u+w /var/www/yoursite/public/uploads -R

通过以上的配置还不够,我们还需要继续对服务器做WEB配置以限制PHP脚本的运行

WEB配置

Nginx可以通过以下配置禁止PHP脚本执行location ~ ^/(uploads|assets)/.*\.(php|php5|jsp)$ { deny all;

}

Apache可以通过在.htaccess中配置来禁用PHP脚本执行RewriteEngine on RewriteCond % !^$

RewriteRule uploads/(.*).(php)$ – [F]

或使用

Order allow,deny

Deny from all

其次在新增网站配置时务必绑定public目录为运行目录,同时启用open_basedir限制只允许FastAdmin的根目录,例如:fastcgi_param PHP_VALUE "open_basedir=/var/www/fastadmin/:/tmp/:/proc/";

通常也建议修改php.ini,禁用不安全的函数,配置如disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru

运行配置

首先打开application/config.php,做以下几项配置app_debug 设置为 false

app_trace 设置为 false

deny_module_list 添加 admin //可以参考 https://ask.fastadmin.net/article/7640.html

cookie.httponly 设置为 true

cookie.secure 设置为 true //前提是你的网站仅提供https访问

其次前台开启全局过滤,早期FastAdmin版本并未开启全局过滤。你也可以检查下你的代码。请手动修改以下代码:application/common/controller/Frontend.php

application/common/controller/Api.php

注意修改其中的$this->request->filter过滤代码,可以修改成:$this->request->filter('trim,strip_tags,htmlspecialchars');

最后务必修改后台管理入口,将admin.php修改成自定义字符.php,以后都从我们自定义的后台入口进行登录。

未解决你的问题?请到「问答社区」反馈你遇到的问题

afea415546f123f36dbc6bf71f9464a9.png

珍珠厚鲜奶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastadmin html完整版,前端 - FastAdmin框架文档 - FastAdmin开发文档
weixin_34990053的博客
06-09 2107
前端最后更新时间:2019-12-27 21:40:49基础介绍FastAdmin的前端部分使用或涉及到主要是RequireJS,jQuery,AdminLTE,Bower,Less,CSS,其中RequireJS主要是用于JS的模块化加载Bower主要用于管理第三方插件。Less主要是用于我们编写LESS和编译成CSS代码在阅读接下来的文档之前最好先简单的了解下RequireJS和Bower,而...
fastadmin 各种开发技巧,问题总合集,持续跟新中....
最新发布
xxpxxpoo8的专栏
07-09 791
也可以单独获取某个字段 js 需改后的代码 需要带花括号 下面简单介绍一下几个配置的含义 name:唯一标识,其中index/add/edit/del/multi/dragsort这几个框架已经暂用,如果使用将会覆盖已有属性 text:按钮上的文本,可以为空时,为空时按钮将不显示文字信息,为空时最好配置上icon的值 title:按钮的标题信息,当鼠标移到上面时显示的文字,同时作为dialog弹出窗时的标题信息 icon:按钮上的按钮信息,可使用Font-awesome的按钮,当text为空时请务必填
fastadmin 修改后台访问地址
Shuainan_0619的博客
01-03 6140
1.修改配置文件 打开application/config.php,修改禁止访问模块: // 禁止访问模块 'deny_module_list' => ['common', 'admin'], 2.对public/admin.php 进行重命名,改为自己想要的名称 这样后台的访问地址就修改完成了 ...
FastAdmin.PDF
11-05
FastAdmin离线文档,整理的FastAdmin的在线文档,方便大家学习使用。
Fastadmin隐藏后台登录入口地址?
此岸情,彼岸花。
11-28 8194
我们都知道后台/admin是我们最常用的登录入口,方便的同时也留下了隐患,如果你刚好使用了admin/123456这种账号密码的方式,会导致我们的后台完全暴露在外。 因此我们建议修改后台的登录入口,达到隐藏后台登录入口的效果。 操作步骤 1、首页修改application/config.php中deny_module_list的值,其中默认已经有common,我们添加admin,改成['com...
Fastadmin插件开发流程简要记录
但求有朝一日,风起云涌,笑看苍穹
04-20 1893
Fastadmin插件开发简易流程Step1 使用命令行创建插件Step2 更改插件信息Step3 编辑插件相关数据库脚本Step3 编辑插件的配置Step4 为插件配置后台管理菜单Step5 正式开发Step6 打包插件 Step1 使用命令行创建插件 cd /你的项目根目录路径 php think addon -a 插件名称 -c create 建议使用官方工具首先检测插件名称是否已被占用 检测链接: 需要登录后方可使用 Step2 更改插件信息 创建完成后会生成5个文件 具体作用可参考官方文档(
基于fastadmin的阿里云短信免费源代码-alisms-1.0.1
02-03
【基于fastadmin的阿里云短信免费源代码-alisms-1.0.1】是一个专为FastAdmin框架设计的插件,旨在帮助企业或个人利用阿里云的免费短信服务进行短信发送和验证。FastAdmin是一个基于ThinkPHP5.1开发的后台管理框架,...
项目代理-fastadmin项目,外包项目公司项目代理模式
06-20
"项目代理-fastadmin项目,外包项目公司项目代理模式"是一个基于FastAdmin框架的外包项目案例,FastAdmin是一款基于ThinkPHP5.1+AdminLTE开发的后台管理系统,它提供了丰富的功能和快速开发的能力,广泛应用于中小型...
fastadmin alioss上传
12-28
总的来说,"fastadmin alioss上传"这个知识点涵盖了FastAdmin框架与阿里云OSS的集成,包括组件安装、配置、前后端交互、权限管理等多个方面,为开发者提供了高效且安全文件存储解决方案。在实际项目开发中,充分...
FastAdmin_Upload:FastAdmin 前台文件上传RCE
04-06
FastAdmin是一款基于ThinkPHP5框架开发的后台管理系统,因其简洁易用的界面和强大的功能深受开发者喜爱。然而,任何系统都可能存在安全漏洞,FastAdmin也不例外。本文将深入探讨“FastAdmin前台文件上传RCE”这一...
【漏洞预警】FastAdmin框架任意文件读取漏洞
晚风不及你
06-11 2169
FastAdmin是一个基于ThinkPHP和Bootstrap的快速开发的后台管理系统框架FastAdmin框架存在文件读取漏洞漏洞,攻击者利用此漏洞可以获取系统敏感信息。
fastadmin epay
qq_31315703的博客
08-03 711
企业付款到零钱 protected function transfer($userId,$activity, $money,$type=0) { // $activity = model('app\api\model\redenvelope\Activity')->get(1); $ordersn = model('app\api\model\redenvelope\Transfer')->getOrdersn();
php实现在线捐助,我用fastadmin做了一个捐款网站,需要开发一个捐款页面。需要一个最简单的epay的php DEMO代码。...
weixin_39599705的博客
04-10 816
余额充值流程。前端发起支付请求后,请求submitOrder方法,接收两个参数 一个金额,一个支付类型public static function submitOrder($money, $paytype = 'wechat')权限验证$auth = Auth::instance();$user_id = $auth->isLogin() ? $auth->id : 0;订单查询$or...
fastadmin 在线命令行 提示只允许在开发环境执行命令
夏已微凉、
01-01 3628
fastadmin 在线命令行 提示只允许在开发环境执行命令
FastAdmin 开发环境详细设置 (2017)
weixin_30515513的博客
11-04 572
2019-07-11:此文档近期将更新。 一图胜千言 FastAdmin开发环境 Windows 网页安装 鼠标点点就可以了,不用说明。 命令行安装 环境准备 装有 Windows 7 的PC 。(这是一句废话,不用理这句。) 服务器软件 Apache/nginx(其它自己测试) MySQL >= 5.5 PHP >= 5.5...
fastadmin php 命令的使用设置
cvper's world !
10-09 1565
使用fastadmin的过程中需要使用到命令行,而且是php 命令, 这就需要我们将php 加入到环境变量中去才能使用 php 命令, 你可以首先尝试在命令行中输入 php -version 来测试下php 命令是否可以使用, 如果不能使用,那么下一步将 php 的地址加入到环境变量中;   本人本地使用phpstudy 的集成软件,其它的也都是同样的做法, 找到php文件夹,如果有多...
PHP后台开发fastadmin部署Linux环境(宝塔)
jerry_0_0的博客
04-07 2976
PHP后台开发fastadmin部署Linux环境(宝塔) 本篇文章记录自己在部署项目时遇到的问题 一、项目打包上传到服务器上报错不能加载PHP文件的问题 如图: 报错原因: Warning: require(): open_basedir restriction in effect. File 解决方法:宝塔自动开启防跨域攻击的功能; 取消宝塔选中的open_basedir就可以了。...
Fastadmin后台插件-在线命令管理-getshell
dzqxwzoe的博客
02-20 2383
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
Renren-Fast Vue 开发文档:快速上手与模拟数据管理
"renren-fast-vue.pdf"是一份开源的快速开发平台文档,专注于Java技术栈,主要服务于Renren-Fast项目。该文档详细介绍了项目的方方面面,包括但不限于以下几个核心知识点: 1. 目录结构与功能:文档首先列出目录,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值