[原创]我的mambo安全防护策略(适合中小企事业单位)
1、把数据库权限设成只读。我做过测试,即使数据库的权限设置为“选择”,MAMBO也可以照常运行,不过要把PHP的报错给关了,要不会有一大堆错误提示。对于无会员的网站,这个方法非常有效。
2、开放session,users两个表的读写权限(选择、插入、删除、更改四个权限)。这时,用户可申请会员、会员登陆。
3、开放akobook表权限。因为我装了留言板插件,这个表权限不放开,用户无法留言。
使用上述方法后,你的网站就很难被人黑掉了,因为遭攻击的最坏结果是用户表被清空、留言被删掉,网站的内容是不会被更改的,除非有人能突破操作系统的安全屏障,这很难。
4、当你做了上述设置后,作为超级用户的你,同样改不了网站内容,怎么办?设置另一个后台数据库管理的用户名,这个用户对网站数据库有完全访问权限,改administrator目录下的index.php、index2.php、index3.php三个脚本,加入这个高权限用户名和密码。这样你的后台对网站数据有全部操作权限。
5、如果黑客从后台攻击进入呢?你可以在上述三个脚本内加个IP限制(网上有检测用户IP的源码,比如仅允许内网用户进入后台,这样黑客只能从单位内部攻击你的网站。显然,对于中小型单位,很容易追查到谁搞了破坏。
我是把后台部分放到家里主机上运行,数据库和网站在单位主机上,这样我家里的后台管理通过操作远程数据库来维护网站。同样方法也适合单位内部使用。这时,黑客所要面对的,是MYSQL的安全体系,熟悉MYSQL管理的人应该知道,用户名、数据库都可以设置IP访问限制。
6、除了4所说的三个文件外,网站根目录下的index.php和index2.php两个文件里也有打开数据库的指令,同样关系到网站安全。如果网管不太称职或者比较懒的时候,你就要改这两个脚本中打开数据库的程序行,把用户名和密码直接嵌在源码里,用户名和密码放在configuration.php里很可能被别人include.
7、ZEND优化。提高脚本运行速度的同时,你藏在源码里的密码也被加密了。
8、重点防范同事、同主机用户和站内会员三类人。经常做数据备份。!!!!!!!!!数据库备份文件千万不要放在网站根目录,如果非放不可,那就用个类似密码的文件名。
