织梦cms5.7搭配php哪个版本,dede5.7织梦cms目录权限安全配置

最新推荐文章于 2023-12-03 18:08:04 发布
最新推荐文章于 2023-12-03 18:08:04 发布
阅读量199 收藏
点赞数
文章标签: 织梦cms5.7搭配php哪个版本

我在网上整理了下,拿出来与大家分享分享织梦各目录的安全设置教程。以供参考。

/ 【站点上级目录】

假如要使用后台的目录相关的功能需求有列出目录的权限 //0444

/ 【站点根目录】

需求执行和读取权限 假如要在根目录下面创建文件和目录的话需求有写入权限 //0755

/install 【安装程序目录】

需求有执行和读取权限 //建议安装完成以后删除或者改名 //0555

/dede 【后台程序目录】

需求有执行权限和读取权限 //建议安装完成以后修正目录名称 //0755

/include 【主程序目录】

需求有写入、执行权限和读取权限 //0755 //建议在第一次安装后,去掉写入权限以及修正权限(需求重写配置文件时再暂时开启写入及修正权限)//0555(设置后部分功能关闭,如果有什么问题可尝试开启)

/member 【会员目录】

需求执行读取和权限 //建议去掉写入权限以及修正权限//0555

/plus 【插件目录】

需求有读取、写入和执行的权限 //建议在生成完站点地图和RSS文件后去掉写入权限以及修正权限 //0755

/data 【站点缓存数据等文件】

需求有读取权限和写入修正权限 //建议去掉执行权限//0666(原有安装数据失效,php程序失效,必须做好伪静态后进行设置,需要进入后台更新文章再设置回755)

/html 【HTML文档默认目录】

需求有读取修正和创建权限 //建议去掉执行权限 //0666

/templets【模板目录】

需求有读取 修正写入 权限 //建议去掉执行权限 //0666(设置后不能更新网站,如果没有伪静态,将打不开网站)

/uploads 【附件目录】

需求写入读取权限 //建议去掉执行权限//0666

/company 【企业黄页程序目录】

需求读取和执行权限 //建议去掉写入权限//0555

/special 【专题文件目录】

需求执行、读取、写入和修正权限 //0755

/book 【书库模块程序目录】

需求执行、读取、写入和修正权限 //0755

/ask 【问答模块程序目录】

需求执行和读取权限 //建议去掉写入权限//0555

/group 【圈子模块程序目录】

需求执行和读取权限 //建议去掉写入权限 //0555

下面是官网详细的介绍了目录安全配置教程

1、目录权限

我们不建议用户把栏目目录设置在根目录, 原因是这样进行安全设置会十分的麻烦, 在默认的情况下,安装完成后,目录设置如下:

(1) data、templets、uploads、a或5.3的html目录, 设置可读写,不可执行的权限;

(2) 不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限;

(3) include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。

2、其它需注意问题

(1) 虽然对 install 目录已经进行了严格处理, 但为了安全起见,我们依然建议把它删除;

(2) 不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:

代码如下 复制代码

SELECT, INSERT , UPDATE , DELETE

CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES

由于DEDE并没有任何地方使用存储过程,因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。

3、如何设置目录的权限?

对于会用 Linux 的用户,相信大多数都已经懂得这些东西,IIS用户,请看下图:

(1) 设置目录为只读

复制权限

10d020b4c4b95a99085842258db5ff9a.gif

(此图片来源于网络,如有侵权,请联系删除! )

设置为只读

3fae6ec097b27f351435957867974854.gif

(此图片来源于网络,如有侵权,请联系删除! )

(2) 设置目录不允许执行

9aa188803b57ca27ab955df7a3932ff7.gif

(此图片来源于网络,如有侵权,请联系删除! )

此外还需要注意问题是,不管IIS还是Apache都不要把.php和.inc文件加入mime中,这样系统会禁止下载这些文件。

附:

1.Apache站点安全设置

如果是Windows2003下,可以对Apache进行如下操作:

1.1.在计算机管理里的本地用户和组里面创建一个帐户,例如:DedeApache,密码设置为 DedeApachePWD,加入guests组(如果出现问题,可以赋予user权限);

1.2.打开开始->管理工具->本地安全策略,在“用户权限分配”中选择“作为服务登陆”,添加DedeApache用户;

1.3.计算机管理里面选择服务,找到apache2.2,先停止服务,右击->属性,选择登陆,把单选框从本地系统帐户切换到此帐户,然后查找 选择DedeApache,输入密码DedeApachePWD,然后点确定(这个时候apache还不能正常启动,一般情况肯定会报错:Apache2.2 服务因 1 (0x1) 服务性错误而停止。);

b80a5f5e4c9496971223437d9269885b.gif

(此图片来源于网络,如有侵权,请联系删除! )

1.4.赋予apache安装目录(比如:D:/apache2.2)以及web目录(比 如D:/wwwroot)DedeApache帐号的可读写权限,去除 各磁盘根目录除administror与system以外的所有权限,赋予DedeApache安装 目录所在的磁盘根目录apache帐户的可读取列目录权限

4863d18f66d1a6f7b75b78bb834dda1f.gif

(此图片来源于网络,如有侵权,请联系删除! )

我们在站点配置中可以添加如下内容: 代码如下 复制代码

Order Allow,Deny

Deny from all

Order Allow,Deny

Deny from all

Order Allow,Deny

Deny from all

Order Allow,Deny

Deny from all

这里对应就取消了对应目录的脚本执行权限。

2.data目录路径更改

另外在DedeCMS V5.7中用户也可以设定data目录到上一级非web访问目录,基本操作如下:

2.1.将data目录移动到上一级目录中,这里直接剪切过去就可以了;

2.2.配置include/common.inc.php中DEDEDATA文件

代码如下 复制代码

define('DEDEDATA', DEDEROOT.'/data');

可以改成类如:

define('DEDEDATA', DEDEROOT.'/../../data');

dedecms官网没有写在linux中的权限配置下面我们来介绍一下

一、目录权限设置

web服务器运行的用户与目录所有者用户必须不一样,比如apache运行的用户为www,那么网站目录设置的所有者就应该不能设置为www,而是设置不同于www的用户,如centos。

我们这里假设web服务器以www用户运行,网站分配的用户为centos,dedecms网站根目录为/home/centos/web。

不建议用户把栏目目录设置在根目录, 原因是这样进行安全设置会十分的麻烦, 在默认的情况下,安装完成后,目录设置如下:

1、首先设置网站目录所有者为centos,用户组为www,目录设置为750,文件为640。

代码如下 复制代码

cd /home/centos

chown -R centos.www web

find web -type d -exec chmod 750 {} ;

find web -not -type d -exec chmod 640 {} ;

2、data、templets、uploads、a images目录, 设置可读写,不可执行的权限;

设置可读写权限:

代码如下 复制代码

cd /home/centos/web

chmod -R 770 templets uploads a images

二、设置不可执行权限:

apache的设置,在apache配置文件中加入如下代码(以uploads目录为例,其它设置基本相同)。

代码如下 复制代码

php_flag engine off

Order allow,deny

Deny from all

nginx的设置如下:

location ~* ^/(templets|uploads|a|images)/.*.(php|php5)$

{

deny all;

}

3、不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限,上面介绍了如何设置可读写和不可执行的权限,这里就不重复了。

三、data目录路径更改

另外在DedeCMS V5.7中用户也可以设定data目录到上一级非web访问目录,基本操作如下:

1.将data目录移动到上一级目录中,这里直接剪切过去就可以了;

2.配置include/common.inc.php中DEDEDATA文件

代码如下 复制代码

define(‘DEDEDATA’, DEDEROOT.’/data’);

可以改成类如:

代码如下 复制代码

define(‘DEDEDATA’, DEDEROOT.’/../../data’);

3.后台设置模板缓存路径

78c20d5ba370f8add974eeaf985a8a9f.gif

(此图片来源于网络,如有侵权,请联系删除! )

四、其它需注意问题

1、虽然对 install 目录已经进行了严格处理, 但为了安全起见,我们依然建议把它删除;

2、不要对网站直接使用MySQL root用户的权限,给每个网站设置独立的MySQL用户帐号,许可权限为:

SELECT, INSERT , UPDATE , DELETE,CREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES

由于DEDE并没有任何地方使用存储过程,因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。

假设我们建立的数据库名为centosmysql,数据库用户为centosmysql,密码为123456,具体设置命令如下:

代码如下 复制代码

mysql -uroot -p

mysql>GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP,INDEX,ALTER,CREATE TEMPORARY TABLES ON centossql.* TO centossql@localhost IDENTIFIED BY 123456;

mysql>FLUSH PRIVILEGES;

mysql>exit

3、更改默认管理目录dede,改到不易被猜到就好。

4、关注后台更新通知,检查是否打上最新dedeCMS补丁。

5、登录后台时使用禁止javascript的浏览器登录。

免责声明:本站所有文章和图片均来自用户分享和网络收集,文章和图片版权归原作者及原出处所有,仅供学习与参考,请勿用于商业用途,如果损害了您的权利,请联系网站客服处理。

本站vip会员 请加入织梦58 VIP②群 PS:加入时备注用户名或昵称

普通注册会员或访客 请加入织梦58 技术交流②群

元宝在考试路上
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cmsdede手机端静态插件
02-14
1. 确保你的CMS系统版本与插件兼容,避免出现兼容性问题。 2. 在生成静态页面之前,备份好现有的数据库和文件,以防万一出现问题时可以恢复。 3. 检查网站的服务器配置,确保有足够的磁盘空间来存储生成的静态...
dede5.7文章类网站程序seo超好.rar
07-06
安装方法 你的域名 install 比如:httP://127.0.0.1/install  一步一步填写即可 本程序无任何数据。简单的修改下typeid=对应ID即可自己修改下模版的相关内容一个网站就出来了。 5.7内核适合各类网站
cms5.7搭配php哪个版本,DedeCMS V5.5正式版正式发布(Build-0912)
weixin_30845893的博客
03-10 446
文件类型:.zip软件大小:4.2MB下载次数:软件类别:国产软件软件语言:简体中文授权方式:共享软件运行环境:PHP4.x、5.x + MySQL4.x、5.x更新时间:2009-09-12软件Tag:软件简介:DedeCMS V5.5增强或修正功能列表一、已经修正的BUG:1、添加后台系统管理员账号,无法删除会员列表的账号;2、这篇文档需要注册会员才能访问,你目前是:注册会员(提示文字不正确)...
dedemcs5.7支持php哪些版本,DedeCMS 5.7不兼容PHP 5.4版本的解决办法
weixin_34270705的博客
03-09 282
PHP 5.4相对与5.3的变化还是很大的,废除了不少原因的函数,这也导致了一些CMS无法完美支持的问题,比如DedeCMS系统。在PHP 5.4下,登录DedeCMS后台输入用户名和密码后没有提示显示为空白,主要原为是php5.4的版本废除了session_register函数。可以采用如$_SESSION[$this->keepUserIDTag] = $this->userID;...
dedecms5.7支持php5.3,dedeCMS7月15日更新包PHP5.3出错解决办法
weixin_29012677的博客
03-20 132
在安装了V5.7.32 正式版0715常规更新后,大多数用PHP5.3的网站,在登录和搜索中会出现以下提示:DedeCMS Error: (PHP 5.3 and above) Please set ‘request_order’ ini value to include C,G and P (recommended: ‘CGP’) in php.ini,more…在跳转到官网的说明中有解决办法,...
今天惊奇了一下,dedecms发布5.7版本
珠海-PHP程序员的博客
03-09 134
dedecms是我比较欣赏的一个CMS,主要我喜欢他的静态化,比较灵活自由,自从在一个门户公司工作,从一个同事身上了解dedecms开始就爱上他了,呵呵,有点夸张,不过相信不单只我,很多站长也很喜欢。回归主题......... dedecms5.7这次主要的变更在于添加了全文索引,不过也要服务器支持的情况下才可以,比较麻烦,之前dedecms的搜索一直是十分不友好,特别在LINUX情况下,中...
cms5.7搭配php哪个版本,宝塔面板安装DedeCMS v5.8 – 实测PHP7.3完美支持
weixin_36393744的博客
03-10 1076
DedeCMS目前已经发布了最新版本DedeCMS v5.8 ,不过还不是正式版。DedeCMS v5.x是一个LTS版本,支持将到2022年6月截止,目前最新版本为v5.7SP2,开发版本为v5.8。这篇文章就来用宝塔面板安装目前的DedeCMS v5.8。5.8版本的具体的更新,如下:1、v5.8 Roadmap项目开发可以到开发问题管理中进行交流反馈。调整DedeCMS目录结构,将原有i...
DEDE 5.7 新闻采集规则
11-11
DEDE5.7是一款基于PHP和MySQL的开源内容管理系统(CMS),广泛应用于网站建设和内容管理。新闻采集是DEDE系统的一个重要功能,它允许用户自动抓取网络上的新闻内容,节省手动录入的时间,提高工作效率。在这...
DEDECMS Tag静态化 插件 SEO工具
01-07
该插件特别适用于DEDECMS的5.6或5.7版本,提供了UTF-8和GBK两种编码支持,以适应不同语言环境的需求。UTF-8是一种国际通用的字符编码标准,能支持世界上大部分语言,而GBK是中国大陆常用的汉字编码,对中文支持...
dede5.7
04-12
"dede5.7 内涵20套商业模版" 指的是这个版本中包含的20个不同设计风格的商业模板。这些模板可以用于快速搭建具有专业外观的网站,无需从零开始设计,大大节省了用户的时间和精力。商业模板通常设计精美,符合不同...
DedeCMS 5.7 升级 php版本php 5.4 后出现 后台不能显示,标题不能为空解决办法。
changdejie的专栏
04-03 1625
解决后台不能显示的问题。 打开 include/userlogin.class.php这个文件,在287行到308行原内容的内容,删除 所有有 @session_register函数的地方,php5.4 已经没有了该函数 @session_register($this->keepUserChannelTag); 解决标题不能为空的问题问题。 现象是发布英文标题没问题,发布中文会提示
dede 5.7 爆后台
weixin_30532759的博客
07-13 479
#!/usr/bin/env python import requests import itertools characters = "abcdefghijklmnopqrstuvwxyz0123456789_!#" back_dir = "" flag = 0 url = "http://www.rensheng5.com/tags.php" data = { ...
详细解读dedecms5.7文件目录结构,快速上手二次开发cms
小虎哥-不可能变成可能
03-02 2655
    详细解读dedecms文件目录结构,快速上手二次开发,以下目录结构不代表最新,仅供参考,对于二次开发而言,知道每个目录、文件的作用是必须的,希望给你带来好运。dedecms目录结构:/a:栏目静态页默认生成目录。为利于SEO优化,可以将文件指定到根目录。/data:数据存放目录。Backupdata为数据库备份目录,网站迁移时需拷入。/dede:默认的站点后台管理目录。为网站安全,建议...
cms5.7搭配php哪个版本,CMS5.7兼容php5.4+问题处理办法介绍
weixin_39795479的博客
03-10 396
这篇文章主要为大家详细介绍了CMS5.7兼容php5.4+问题处理办法介绍,具有一定的参考价值,感兴趣的小伙伴们可以参考一下,有需要的朋友可以收藏方便以后借鉴。2015年6月18日更新的新版本5.7,为了兼容php5.4+,修改了common.func.php,可能有些模板也改动过这个文件,这样会导致在安装模板时,common.fuc.php文件被覆盖,从而在发布文章时,编辑框的位置出现...
dedecms mysql5.7_Dedecms v5.6升级到dedecms v5.7 sp1 最新教程(图文教程)
weixin_39647471的博客
03-03 229
最近,dedecms安全事故频发,大家应引以为戒,dedecms已经在7月15日更新了紧急安全补丁。如果您的dedecms版本还是非常古老,那么,无忧主机小编强烈建立您,升级把,速度把dedecmsv5.6升级到最新的dedecmsv5.7。不要幸存侥幸心理,速度升级把。如果您还在思考,如何升级dedecmsv5.7sp1版本。那么,就请你阅读无忧主机小编dedecms教程下面的帮助文档,...
dedecms+5.7+is+php,Dedecms v5.7 最新注入分析
weixin_28871821的博客
03-27 217
完整的输入语句,第二个参数 typeid可控。1INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,`ftype`,`face`,`msg`) VALUES ('108','2','游客','paxmac','127.0.0.1','1'...
DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改(漏洞复现)
最新发布
m0_72827793的博客
12-03 666
打开源码目录下D:\phpstudy_pro\WWW\dedecms\include,找到dedesql.class.phpdedesqli.class.php两个php文件,用notepad++打开,然后ctrl+F寻找safeCheck,把TURE改为FALSE,关闭安全检查。就是这里的判断出现了问题,因为使用了不够严谨的 == 进行了比较,导致if语句的条件为真,就会进入分支,进入sn函数。然后放回页面,退出我们的账号,来到下面这个页面。如果他会让你下载,点击是就好!然后按着以下教程安装就好!
CMS V5.7 SP2漏洞复现(CVE-2018-20129)
haoaaao的博客
04-04 4716
0x00 前置 1、CVE中对该漏洞的描述: 在 DedeCMS V5.7 SP2 中发现了一个问题。uploads/include/dialog/select_images_post.php 允许远程攻击者通过双扩展名和修改的“.php”子字符串以及 image/jpeg 内容类型上传和执行任意 PHP 代码,如 filename=1 所示。 jpg.p*hp 值。 2、所需工具 (1)cms网站源码版本DedeCMS V5.7 SP2 下载链接...
dedecms如何安全搬迁data目录
09-06 204
举例 “D:\root\web” 为根目录,data的路径是 “D:\root\web\data”。我们必要data文件夹迁徙上一级目录(非Web目录), 的路径是 “D:\root\data” 也就是向上移动了一层,目录修改方法为 ../进入系统-系统基本参数-性能选项中修改模板缓存目录为:/../data/tplcache 即可。找到/include/common.inc.php文件,data目录搬移到Web根目录外面;设置tplcache缓存文件目录。修改 DEDEDATA 目录
CMS关键字段详细解读:必备资源整理
这些表构成了DEDE CMS的核心组件,对于理解和定制该系统,理解这些表的功能和关联至关重要。对于需要深入研究DEDE开发或者使用该系统的人来说,这些资源提供了重要的参考和学习材料。通过分析这些表,开发者可以根据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值