Dedecms的安全問題從去年持續(xù)到今天依舊有不少的問題，今天無憂主機小編再貢獻一段比較有用的防護功能代碼，使得網(wǎng)站可以有更好的安全性能。這個原理來說，是防止別人通過sql注入漏洞，添加管理員后臺賬號密碼，然后往服務(wù)器或者空間里上傳PHP木馬，后門程序。從而在上傳PHP文件這個環(huán)節(jié)卡住入侵者。 具體方法如下： 找到config_base.php以下代碼： $ckvs = Array('_GET','_POST','_COOKIE','_FILES'); foreach($ckvs as $ckv){ if(is_array($$ckv)){ foreach($$ckv AS $key => $value) if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]); } } 替換成下列代碼： //把get、post、cookie里的<? 替換成 <? $ckvs = Array('_GET','_POST','_COOKIE'); foreach($ckvs as $ckv){ if(is_array($$ckv)){ foreach($$ckv AS $key => $value) if(!empty($value)){ ${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value); ${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]); } if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]); } } //檢測上傳的文件中是否有PHP代碼，有直接退出處理 if (is_array($_FILES)) { foreach($_FILES AS $name => $value){ ${$name} = $value['tmp_name']; $fp = @fopen(${$name},'r'); $fstr = @fread($fp,filesize(${$name})); @fclose($fp); if($fstr!='' && ereg("<\?",$fstr)){ echo "你上傳的文件中含有危險內(nèi)容，程序終止處理！"; exit(); } } } 理論上這樣可以杜絕入侵者通過后臺上傳php文件到網(wǎng)站下，但是同時自己也將不能通過管理員后臺上傳php文件到空間。 相關(guān)文章推薦閱讀：   DEDECMS上傳文件失敗解決方法 DEDECMS織夢程序最常見的漏洞與解決方案 DEDECMS2014年最新漏洞：利用RECOMMEND.PHP工具爆破網(wǎng)站后臺  

本文地址：http://www.gle-technology.com/dedecms/13844.html