|
||||||||
|
||||||||
|
|
Công Cụ | Xếp Bài |
09-11-2009, 01:23 PM | #1 | ||||||||||||||||||||||||
Guest
Trả Lời: n/a
|
Hãy đổi tên tập tin config.php vì lý do bảo mật
Hãy đổi tên tập tin config.php vì lý do bảo mật Có 3 lý do để bạn thực hiện điều này: Một là: đây là tập tin quan trọng chứa tài khoản CSDL của bạn, bao gồm: tên CSDL, tên đăng nhập CSDL và mật khẩu đăng nhập CSDL. Khi bạn để lộ 3 thông tin này cho người khác, họ đã đủ điều kiện cần và đủ để truy cập vào CSDL của bạn bằng nhiều đường khác nhau, có thể bằng một phần mềm quản lý SQL cũng được. Bởi vì thông thường, CSDL có Host Name truy cập chính là tên miền đang sử dụng và cổng mặc định là 3306. Bạn nghĩ đến việc thay đổi cổng? Việc này dường như quá tầm với của bạn khi sử dụng các gói hosting chung với người khác. Hai là: bình thường một kẻ cố truy cập trực tiếp tập tin config.php của bạn sẽ cho ra một trang trắng trên trình duyệt. Nhưng nếu giả sử trình biên dịch PHP trên máy chủ của bạn gặp sự cố (hoặc khi nâng cấp server, dịch vụ hosting thường tắt hết các trình biên dịch PHP), các tập tin PHP không còn được biên dịch để trả kết quả về trình duyệt người xem nữa, nó sẽ xuất ra "hết thảy những gì mình có" lên trình duyệt. Khi đó kẻ truy cập đó có thể xem tất tần tật tập tin config.php của bạn bằng trình duyệt. Ba là: dù không có chuyện gì xảy ra, một khi biết được tên tập tin config.php của bạn và vị trí của nó, kẻ tấn công bạn vẫn có thể sử dụng lệnh include() từ một nơi nào khác, "include" tập tin config.php trên máy chủ bạn rồi xuất ra các biến: $dbhost, $dbname, $dbuser và $dbpasswd trong tập tin kết quả của chúng. Để giải quyết vấn đề, thường thì có người đề xuất di chuyển tập tin config.php ra khỏi thư mục wwwroot hay httpdocs trên máy chủ để không bị truy cập từ trình duyệt. Nhưng nếu bạn cài 2 forum trở lên thì sao? Và có thể bạn không được phép upload ngoài thư mục wwwroot/httpdocs khi sử dụng chung hosting. Đơn giản là bạn chỉ cần đổi tên lại tập tin config.php của mình, càng "kinh khủng" bao nhiêu càng an toàn bấy nhiêu. Quan trọng là bạn phải tắt chức năng duyệt thư mục trực tiếp (Directory Browsing) trên máy chủ của mình. 1. Di chuyển file config Bạn mở thư mục admincp (hoặc thư mục tương đương mà bạn đã đổi tên) tìm file diagnostic.php Bạn tìm đoạn
VD:
Tìm đoạn
Bây giờ bạn upload 1 file copy của file config.php lên chỗ mà bạn muốn di chuyển, đổi tên nếu thích, rồi quay trở lại file config.php trong thư mục includes và thay đổi thông số DB của bạn đi. Khuyến cáo các bạn nên làm cả 2 phần 1 và 2. 2. Thay đổi tên thư mục admincp và modcp Bạn mở thư mục includes mở tiếp file config.php Tìm đoạn sau:
Chú ý: Nên chèn các ký tự dạng @,_,# vào tên các thư mục này khi đổi tên. 3. Bảo vệ thư mục và file bằng CHMOD Bạn CHMOD toàn bộ các thư mục trong thư mục gốc giá trị là 101 và toàn bộ các file ngoài thư mục gốc có giá trị là 400. Nếu bạn đặt file bộ gõ ở thư mục gốc thì phải CHMOD cho file này là 444. Khi CHMOD theo các giá trị như trên thì sẽ hạn chế được local, vì các lệnh show thư mục sẽ không hiển thị được, ngay cả khi bạn dùng chương trình FTP cũng không thể hiển thị được nội dung thư mục. Nếu muốn sửa, xoá, up thêm file vào trong thư mục hoặc sửa các file ở thư mục gốc, bạn phải CHMOD cho nó trở về giá trị ban đầu. Giá trị CHMOD mặc định của thư mục là 755 và của file là 644. 4. Thêm khoá bảo vệ thư mục admincp Cpanel của host thường có chức năng đặt pass cho dir ...các bạn sử dụng để đặt pass cho dir admincp Trên đây cũng chỉ là vài biện pháp đơn giản để phòng thủ thôi chứ cũng không phải hoàn thiện được. Nhớ cẩn thận nha, bài này mình đã làm thành công rồi. Đổi tên file config Cài đặt: Step 1: Open includes/class_core.php and find: Tìm: ==================================================
And replace with Thay thế bằng ================================================== ===
Ngay phần XXXXX đường dẫn đến file config mới VD: admincp/mynewconfig.php or includes/configuration.php Done! ST |
||||||||||||||||||||||||
|
|