DEDECMS如何防止入侵?最新萬能安全防護代碼解析

　　在國內的CMS中，用織夢DEDECMS作為建站內核的網站很多很多，其中有中型的企業網站，有小型的個人網站，也有更多的垃圾內容網站。使用人數越多，其安全性尤其需要重視。經常在論壇看到有些站長說自己的網站被掛馬，數據被刪除，更多的應該是被掛黑鏈接。Dedecms的安全問題從去年持續到今天依舊有不少的問題，今天小編貢獻一段比較有用的防護功能代碼，使得網站可以有更好的安全性能。對于這個原理來說，是防止別人通過sql注入漏洞，添加管理員后臺賬號密碼，然后往服務器或者空間里上傳PHP木馬，后門程序。從而在上傳PHP文件這個環節卡住入侵者，很多所謂的“黑客”都是用工具來掃描入侵，厲害點的人是不屑來黑我們的小網站的，所以我們一般做好安全防護就可以了。

　　具體方法如下：

　　為了讓大家的CMS更安全，有需要的手工在config_base.php里加上

　　打開

　　config_base.php

　　找到

　　復制代碼

　　//禁止用戶提交某些特殊變量

　　$ckvs = Array('_GET','_POST','_COOKIE','_FILES');

　　foreach($ckvs as $ckv){

　　if(is_array($$ckv)){

　　foreach($$ckv AS $key => $value)

　　if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);

　　}

　　}

　　替換成下列代碼：

　　//把get、post、cookie里的<? 替換成 <?

　　$ckvs = Array('_GET','_POST','_COOKIE');

　　foreach($ckvs as $ckv){

　　if(is_array($$ckv)){

　　foreach($$ckv AS $key => $value)

　　if(!empty($value)){

　　${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);

　　${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);

　　}

　　if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);

　　}

　　}

　　//檢測上傳的文件中是否有PHP代碼，有直接退出處理

　　if (is_array($_FILES)) {

　　foreach($_FILES AS $name => $value){

　　${$name} = $value['tmp_name'];

　　$fp = @fopen(${$name},'r');

　　$fstr = @fread($fp,filesize(${$name}));

　　@fclose($fp);

　　if($fstr!='' && ereg("<\?",$fstr)){

　　echo "你上傳的文件中含有危險內容，程序終止處理！";

　　exit();

　　}

　　}

　　}

　　這樣處理之后，安全上理論上可中做到一勞永逸，但缺點是使用此功能后，不能在線上傳PHP文件，如果你的站點同時支持asp、aspx等，在此基礎上修改一下上述代碼即可。