|
PHP.INI下禁用敏感函数:编辑本段回目录
搜索(这个谨慎设置,模块加密会用到部分函数,设置了可能会造成打开空白) disable_functions =改成: disable_functions =eval,passthru,popen,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_close,escapeshellarg,escapeshellcmd,show_source,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen
apache下的站点配置示例:编辑本段回目录配置文件内修改 vhost.conf文件<VirtualHost *:80> php_admin_value open_basedir "/xxx/www/:/tmp/:/proc/" #这句的作用是限制php文件只能操作当前目录下的文件,简单来说就是防止后门程序访问系统文件和其他站点文件殃及无辜 DocumentRoot /xxx/www ServerName 012wz.com ServerAlias www.012wz.com ErrorLog "/xxx/log/012wz.com-error.log" CustomLog "/xxx/log/012wz.com.log" common <Directory ~ "^/xxx/www/(data|addons|attachment|framework)"> <FilesMatch "\.(php|php5)$"> Order allow,deny Deny from all </FilesMatch> </Directory> #这句的意思禁止设置的目录下执行php文件,多个目录可用|分开,注意这里是绝对路径</VirtualHost>【温馨提示:】上面的/xxx/ww是你微赞站点的绝对路径,切勿生搬硬套。
nginx下的站点配置示例:编辑本段回目录 vhost.conf文件server { listen 80; server_name www.012wz.com; index index.html index.htm index.php; root /xxx/www/www_012wz_com; location ~ ^/(data|attachment)/.*\.(php|php5)$ { deny all; } location ~ ^/addons/(??!(feng_fightgroups|we7_wmall|wdl_dbdzb|weliam_indiana|superman_mall|dg_ask|dg_chat|qw_fen)).)*/.*\.(php|php5)$ { deny all; } location ~ ^/framework/(??!(model/sendsms)).)*/.*\.(php|php5)$ { deny all; } location ~ .*\.(php|php5)?$ { #fastcgi_pass unix:/tmp/php-cgi.sock; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; include fastcgi.conf; } location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { expires 30d; } location ~ .*\.(js|css)?$ { expires 1h; } #伪静态规则 access_log /xxx/log/www.012wz.com.log;}【温馨提示:】上面的/xxx/ww是你微赞站点的绝对路径,切勿生搬硬套。
2、禁止跨站: 找到fastcgi.conf,在最下面添加一行: fastcgi_param PHP_ADMIN_VALUE "open_basedir=$document_root/:/tmp/:/proc/";
其他安全配置方法:编辑本段回目录
1、上面是简单的安全策略,但是作用非常直接; 2、可以安装一些防护软件:云锁,安全狗等!
|
|