XSS 防御设置 $_config['security']['urlxssdefend'] = true; // 自身 URL XSS 防御 4 m; U0 A% x+ c. k! r5 Z6 N7 ~
4 G. Q' k# d! w$ vCC 攻击防御当你的站点发现被CC攻击时,你也可以在config中打开CC攻击防御,该防御有1/2/4/8四种防御方式,你除了可以配这四种外,还允许组合防御。例如:可以配成24,当配成24代表同时使用2跟4的两种防御攻击 $_config['security']['attackevasive'] = 0; // CC 攻击防御 1|2|4|8 - W( c( x6 j9 ?
* [2 U1 d7 O( v, f
SQL 安全性防御: j- [- x/ U0 r. I" s$ r8 Z
- $_config['security']['querysafe']['status'] = 1; // 是否开启SQL安全检测,可自动预防SQL注入攻击& I1 m1 L5 B5 ~( m8 _1 Z& J
- $_config['security']['querysafe']['dfunction']['0'] = 'load_file';
/ O" J3 R. o \- j$ w - $_config['security']['querysafe']['dfunction']['1'] = 'hex';
; }: X* ?0 e# e% c7 {) R - $_config['security']['querysafe']['dfunction']['2'] = 'substring';- [' V: h- T$ X! W) |3 b g6 z
- $_config['security']['querysafe']['dfunction']['3'] = 'if';2 k2 ]6 |% z3 Q& _6 a; D" c
- $_config['security']['querysafe']['dfunction']['4'] = 'ord';
p% b* n% d+ O) T/ j% t+ u - $_config['security']['querysafe']['dfunction']['5'] = 'char';
2 i. }9 r+ X, }- Z+ O3 _ - $_config['security']['querysafe']['daction']['0'] = 'intooutfile';
! z) Z% N/ F1 `+ n. ? - $_config['security']['querysafe']['daction']['1'] = 'intodumpfile';# _+ ]* c! q# B+ k
- $_config['security']['querysafe']['daction']['2'] = 'unionselect';( E o$ h4 e) @8 y! |
- $_config['security']['querysafe']['daction']['3'] = '(select';
- E9 R1 ~' ?9 O2 p - $_config['security']['querysafe']['daction']['4'] = 'unionall';3 z0 m9 U. O' D7 V. W. m
- $_config['security']['querysafe']['daction']['5'] = 'uniondistinct';/ w6 w* H9 M4 e1 R' N) E, u( P
- $_config['security']['querysafe']['dnote']['0'] = '/*';: z8 X7 |* V" H! D4 Y3 u L& v2 a. ]
- $_config['security']['querysafe']['dnote']['1'] = '*/';7 \; a9 m9 L& p- t9 v
- $_config['security']['querysafe']['dnote']['2'] = '#';. M: [2 c: e8 J, b6 g
- $_config['security']['querysafe']['dnote']['3'] = '--';" [7 M+ B( J" E: U+ d6 k
- $_config['security']['querysafe']['dnote']['4'] = '"';8 P( r7 K! E: c& j1 n! g! @5 m
- $_config['security']['querysafe']['dlikehex'] = 1;
2 D( s5 H4 k4 V! A - $_config['security']['querysafe']['afullnote'] = '0';
复制代码 - X! _* \# M; g7 @. }
" b, K8 Z2 o, I* [9 B6 k' R* a: r# t; o
/ F- d0 O9 Y6 N- S# _! H2 f( ]
" A) B) T/ w/ q" t6 O8 O
" E# o3 ` a v7 Y) y( R
, x3 k* [% w( I! u; q6 f( A 4 }+ A! U) u' @" X
在上面内容是关于SQL的安全检查,在配置中只需要配置$_config['security']['querysafe']['status'] = 1;就可以,1代表开启/0代表关闭
! [0 m. u5 C# Y5 [- }创始人的设置创始人的设置,当您的站点在线上运营时,建议至少设置一个创始人,创始人拥有站点管理后台的最高权限。 $_config['admincp']['founder'] = '1'; // 站点创始人:拥有站点管理后台的最高权限,每个站点可以设置 1名或多名创始人 // 可以使用uid,也可以使用用户名;多个创始人之间请使用逗号“,”分开;
- \6 [. R: x. b$ z T$ M/ D0 a; a8 `# R
安全问答安全问答,可以在这里开启安全问答来限制管理员必须设置相应的安全问答,来增加该站点的管理帐号的安全性。建议开启 $_config['admincp']['forcesecques'] = 1;// 管理人员必须设置安全提问才能进入系统设置 0=否, 1=是[安全]
/ v8 M3 b4 |7 X. S& J! F0 q z) k! c* o. f5 F1 [" L! s
验证后台管理IP验证后台管理IP,建议开启 $_config['admincp']['checkip'] = 1; // 后台管理操作是否验证管理员的 IP, 1=是[安全], 0=否。 //仅在管理员无法登陆后台时设置 0。 ; l) o. q- _ l) _+ H4 K0 o- W
4 P) X u: @8 F( J7 y后台是否允许执行相关的MySQL操作后台是否允许执行相关的MySQL操作,建议关闭。关闭后将无法直接在后台执行相关的SQL语句 $_config['admincp']['runquery'] = 0; // 是否允许后台运行 SQL 语句 1=是 0=否[安全] 2 G( i* z1 g' S$ O- a$ w
' D$ Y! m0 }# Y) O1 e0 q后台恢复数据后台恢复数据。定期备份是一个很好的习惯,在站点运营过程中,为了安全建议关闭后台恢复数据的功能,在你的站点确实需要进行数据恢复操作时再将此开关打开 $_config['admincp']['dbimport'] = 0; // 是否允许后台恢复论坛数据 1=是 0=否[安全]
+ x. e Q3 \0 |9 t( f8 O3 p& ?0 t' |! B" S; T4 T/ B) x3 c, K% q" ^( H
4 Y; \) X7 c$ T: R5 z
/ E+ k. O$ d" ?: v! X
" Y$ A; N4 Z" L3 s. J9 s
% ?" J4 N+ @* [& lhttp://bbs.zb7.com/discuz/dx25/safe/security/security_config.htm
( d3 D$ @0 n* |! P1 T 9 K3 g* y* m8 [+ F& Z, ~
. j$ U: l0 Q6 H! T _
, t$ H7 z; I1 q W; a( o4 s% \
6 e; W/ w2 {- Q% c. D9 [5 U1 D" g
. T! W8 q2 d# ] X4 _ |