作为一款开源的php后台框架,网站安全是一个非常重要的条件,不论你的网站功能有多强大,多易用,安全不过关,那也是没有任何意义的,下文我们将分为服务器和代码两个方面细说
*****
## 服务器安全
1.服务器我们推荐Linux+Nginx+Mysql php推荐7.1以上
2.网站**上线**后,除runtime目录和public/uploads目录,其余目录设置555或只读权限
```
chown www:www /var/www/yoursite -R
chmod 555 /var/www/yoursite -R
chmod u+w /var/www/yoursite/runtime -R
chmod u+w config/addons.php
chmod u+w /var/www/yoursite/public/uploads -R
```
3.Nginx配置,,添加到server段中
```
*****
## 禁止敏感文件的直接访问
location ~ ^/(uploads|assets)/.*.(php|php3|php4|php5|cgi|asp|aspx|jsp|shtml|shtm|pl|cfm|sql|mdb|dll|exe|com|inc|sh)$ {
deny all;
}
```
4.Apache可以通过在`.htaccess`中配置来禁用PHP脚本执行
```
RewriteEngine on RewriteCond % !^$ RewriteRule uploads/(.\*).(php)$ – \[F\]
```
大家要记住一个原则,那就是:能执行php程序的目录一定不要开放读写权限,而可以读写的目录(比如上传)一定不要赋予php执行权限
5.修改php.ini,禁用不安全的函数,配置如
```
disable_functions = phpinfo,passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru
```
6.配置open\_basedir来限制PHP访问文件系统位置,例如:
```
open_basedir=/项目路径/:/tmp/:/proc/
```
7.宝塔免费用户可以在选择你安装的PHP版本-->安装扩展-->bt_safe -->安装
8.最重要的一点,一定要开启快照或者自动备份,否则真的网站被黑,你会欲哭无泪
*****
## 代码安全
1. 根目录`.env`文件`APP_DEBUG`参数设置false,关闭调试模式
2. 默认是域名绑定在public目录,为唯一对外访问目录,不建议修改,除非是实在不支持域名绑定
3. 务必更改默认密码,并不要设置的过于简单,防止暴力破解
4. 后台禁止访问IP,可以在设置-网站设置中设置
*****
## 推荐文章
ThinkPHP开发指北:https://support.topthink.com/@thinkphp/code-safety.html
- 与1.4版本差异说明
- 序言
- 使用条款
- 安装
- 环境搭建
- 事件
- 表单生成
- 数据限制
- 命令行
- 一键生成CRUD
- 一键生成菜单
- 一键安装
- 一键压缩打包
- 系统配置
- 常规字段
- 特殊字段1:高级下拉框[selectpage]
- 特殊字段2:自定义字段
- 特殊字段3:自定义多图片
- 邮箱/短信类
- 前端&组件
- 后台前端框架
- 文件上传
- table数据表格
- auth权限验证
- 动态显示(Favisible)
- 动态下拉(SelectPage)
- 键值组件(Fieldlist)
- 标签输入
- uniapp教程
- 🔥插件使用说明
- cms内容管理【cms】
- 变量/常量
- 函数
- getCategory - 栏目获取
- catpos - 面包屑
- seo - 生成SEO
- buildCatUrl - 生成栏目URL
- buildContentUrl - 创建内容链接
- 标签
- 公共参数
- 栏目标签
- 列表标签
- 上一页标签
- 下一页标签
- Tags标签
- 万能标签
- 原生标签
- 搜索页
- 筛选页
- 内容详情页
- 模板
- 技巧/问题
- 敏感词检测
- 栏目授权不全
- 循环表格
- 部分虚拟主机tags页面报错
- 内容页分页
- 分页伪静态
- 实现电脑和手机模板分离
- 阅读收费
- 友情链接【links】
- 自定义表单【formguide】
- 调用方式
- 支付插件【pay】
- 支付宝
- 微信
- 万能采集【collection】
- 采集列表规则
- 采集内容规则
- 关于图片
- H5设计【diywap】
- 接口文档【apidoc】
- 返回顶部【returntop】
- 通用数据导出【dataoutput】
- 通用数据导入【dataimport】
- 多通道短信【easysms】
- 塞邮邮箱【saiyouems】
- 第三方登录【synclogin】
- 中文分词【getwords】
- QQ客服【kefu】
- 地图位置【address】
- 智能人机验证【vaptcha】
- 数据转换【v9toyzn】
- 数据转换【dedetoyzn】
- 百度收录查询【baidurecord】
- 蜘蛛访问统计【spider】
- editormd编辑器【editormd】
- Easymde编辑器【easymde】
- 百度ueditor插件【ueditor】
- 敏感词检测【sensitive】
- 邮箱发送【phpmailer】
- 内容收藏【favorite】
- 队列插件【queue】
- 七牛云【qiniu】
- 阿里云oss【alioss】
- 腾讯云【cos】
- 迅搜全文检索【xunsearch】
- 评论插件【comments】
- 会员邀请【invite】
- 快递查询插件【expressquery】
- 礼品卡提货系统【pickup】
- 地区插件【area】
- IP归属地查询【ipregion】
- 百度统计插件【baidutongji】
- 消息通知【notice】
- 微信管理【wechat】
- 在线投票系统【vote】
- 图片处理【imgproc】
- 后台登录主题【adminlogin】
- 文档管理系统【docs】
- 频率限制【throttle】
- 2FA双因子验证【twofas】
- 🔥开发者入驻
- 申请入驻
- 建立私库
- 插件入驻流程
- 模板入驻流程
- 🔥插件开发
- 目录结构
- 数据库
- 测试数据
- 插件信息
- 插件配置
- 核心文件
- 插件函数
- 常见问题
- YznCMS开发遇到错误怎么办?(新手必看)
- 开启调试模式
- 伪静态(URL重写)
- 如何去除访问链接中的index.php
- 各类虚拟主机伪静态使用注意事项
- 如何自定义404页面显示模板
- 管理员登录时提示请于1天后再尝试登录
- 宝塔面板一键部署
- 后台登录时验证码不显示
- 后台密码忘记重置方法
- 关于编辑器的一些说明
- 如何重置后台登录地址
- 如何修改或禁用左侧菜单栏的角标
- composer
- composer简介
- 内置composer
- 常用命令
- 参考文档
- 安全建议
- 更新日记和补丁包