在 config 配置中可以打开相应的安全开关
站点 authkey
站点 authkey,是站点中一个非常重要的 Key, 用来加密与加密的加密串,当怀疑站点发生 authkey 泄漏可以通过这里变更一个 Key 。
$_config['security']['authkey'] = 'asdfasfas'; // 站点加密密钥
XSS 防御设置
$_config['security']['urlxssdefend'] = true; // 自身 URL XSS 防御
CC 攻击防御
当你的站点发现被 CC 攻击时,你也可以在 config 中打开 CC 攻击防御, 该防御有 1/2/4/8 四种防御方式,你除了可以配这四种外,还允许组合防御。例如:可以配成 24, 当配成 24 代表同时使用 2 跟 4 的两种防御攻击
$_config['security']['attackevasive'] = 0; // CC 攻击防御 1|2|4|8
SQL 安全性防御
$_config['security']['querysafe']['status'] = 1; // 是否开启 SQL 安全检测,可自动预防 SQL 注入攻击 $_config['security']['querysafe']['dfunction']['0'] = 'load_file'; $_config['security']['querysafe']['dfunction']['1'] = 'hex'; $_config['security']['querysafe']['dfunction']['2'] = 'substring'; $_config['security']['querysafe']['dfunction']['3'] = 'if'; $_config['security']['querysafe']['dfunction']['4'] = 'ord'; $_config['security']['querysafe']['dfunction']['5'] = 'char'; $_config['security']['querysafe']['daction']['0'] = 'intooutfile'; $_config['security']['querysafe']['daction']['1'] = 'intodumpfile'; $_config['security']['querysafe']['daction']['2'] = 'unionselect'; $_config['security']['querysafe']['daction']['3'] = '(select'; $_config['security']['querysafe']['daction']['4'] = 'unionall'; $_config['security']['querysafe']['daction']['5'] = 'uniondistinct'; $_config['security']['querysafe']['dnote']['0'] = '/*'; $_config['security']['querysafe']['dnote']['1'] = '*/'; $_config['security']['querysafe']['dnote']['2'] = '#'; $_config['security']['querysafe']['dnote']['3'] = '--'; $_config['security']['querysafe']['dnote']['4'] = '"'; $_config['security']['querysafe']['dlikehex'] = 1; $_config['security']['querysafe']['afullnote'] = '0';
在上面内容是关于 SQL 的安全检查,在配置中只需要配置 $_config['security']['querysafe']['status'] = 1; 就可以,1 代表开启/0 代表关闭
创始人的设置
创始人的设置,当您的站点在线上运营时,建议至少设置一个创始人,创始人拥有站点管理后台的最高权限。
$_config['admincp']['founder'] = '1'; // 站点创始人:拥有站点管理后台的最高权限,每个站点可以设置 1 名或多名创始人 // 可以使用 uid,也可以使用用户名;多个创始人之间请使用逗号 「,」 分开;
安全问答
安全问答,可以在这里开启安全问答来限制管理员必须设置相应的安全问答,来增加该站点的管理帐号的安全性。建议开启
$_config['admincp']['forcesecques'] = 1;// 管理人员必须设置安全提问才能进入系统设置 0=否, 1=是 [安全]
验证后台管理 IP
验证后台管理 IP, 建议开启
$_config['admincp']['checkip'] = 1; // 后台管理操作是否验证管理员的 IP, 1=是 [安全], 0=否。 //仅在管理员无法登陆后台时设置 0 。
后台是否允许执行相关的 MySQL 操作
后台是否允许执行相关的 MySQL 操作, 建议关闭。关闭后将无法直接在后台执行相关的 SQL 语句
$_config['admincp']['runquery'] = 0; // 是否允许后台运行 SQL 语句 1=是 0=否 [安全]
后台恢复数据
后台恢复数据。定期备份是一个很好的习惯,在站点运营过程中,为了安全建议关闭后台恢复数据的功能,在你的站点确实需要进行数据恢复操作时再将此开关打开
$_config['admincp']['dbimport'] = 0; // 是否允许后台恢复论坛数据 1=是 0=否 [安全]