安全相关配置

2018-02-07 14:37 更新

此篇介绍系统安全相关的配置,在./core/config/config.php中可以打开相应的安全开关。


  • 站点加密密钥authkey

 $_config['security']['authkey'] = 'dzzoffice';	// 站点加密密钥	

       站点加密密钥authkey,是站点中一个非常重要的Key,用来加密与解密的加密串,当怀疑站点发生authkey泄漏可以通过这里变更一个Key。网站安装时会自动生成一个随机的值。


  • XSS 防御设置

$_config['security']['urlxssdefend'] = 1;	// 自身 URL XSS 防御	


  • SQL 安全性防御

$_config['security']['querysafe']['status'] = 1;	// 是否开启SQL安全检测,可自动预防SQL注入攻击
$_config['security']['querysafe']['dfunction']['0'] = 'load_file';
$_config['security']['querysafe']['dfunction']['1'] = 'hex';
$_config['security']['querysafe']['dfunction']['2'] = 'substring';
$_config['security']['querysafe']['dfunction']['3'] = 'if';
$_config['security']['querysafe']['dfunction']['4'] = 'ord';
$_config['security']['querysafe']['dfunction']['5'] = 'char';
$_config['security']['querysafe']['daction']['0'] = 'intooutfile';
$_config['security']['querysafe']['daction']['1'] = 'intodumpfile';
$_config['security']['querysafe']['daction']['2'] = 'unionselect';
$_config['security']['querysafe']['daction']['3'] = '(select';
$_config['security']['querysafe']['daction']['4'] = 'unionall';
$_config['security']['querysafe']['daction']['5'] = 'uniondistinct';
$_config['security']['querysafe']['dnote']['0'] = '/*';
$_config['security']['querysafe']['dnote']['1'] = '*/';
$_config['security']['querysafe']['dnote']['2'] = '#';
$_config['security']['querysafe']['dnote']['3'] = '--';
$_config['security']['querysafe']['dnote']['4'] = '"';
$_config['security']['querysafe']['dlikehex']   = 1;
$_config['security']['querysafe']['afullnote']  = '0';	


  • 创始人的设置

$_config['admincp']['founder'] = '1'; // 站点创始人:拥有站点管理后台的最高权限,每个站点可以设置 1名或多名创始人
				      // 可以使用uid,也可以使用用户名(nickname);多个创始人之间请使用逗号‘,’分开;


  • 验证后台管理IP(建议开启)

$_config['admincp']['checkip'] = '1'; // 后台管理操作是否验证管理员的 IP, 1=是[安全], 0=否。
				      // 仅在管理员无法登陆后台时设置 0


  • 后台是否允许执行相关的MySQL操作(建议关闭)

$_config['admincp']['runquery'] = '0'; // 是否允许后台运行 SQL 语句 1=是 0=否[安全]


  • 后台恢复数据

$_config['admincp']['dbimport'] = '0'; // 是否允许后台运行 SQL 语句 1=是 0=否[安全]


  • 用户登录错误验证IP

$_config['userlogin']['checkip'] = '1'; //用户登录错误验证IP,1=是[安全], 0=否。对于同一ip多用户同时使用时(多见于内网使用时),可以设置为0,否则当有一位用户登录错误次数超过5次,该ip被锁定15分钟,导致其他的同IP用户无法登陆;


以上内容是否对您有帮助:
在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号