安全相關(guān)配置

此篇介紹系統(tǒng)安全相關(guān)的配置，在./core/config/config.php中可以打開相應(yīng)的安全開關(guān)。

• 站點(diǎn)加密密鑰authkey

 $_config['security']['authkey'] = 'dzzoffice';	// 站點(diǎn)加密密鑰	

       站點(diǎn)加密密鑰authkey，是站點(diǎn)中一個(gè)非常重要的Key,用來加密與解密的加密串，當(dāng)懷疑站點(diǎn)發(fā)生authkey泄漏可以通過這里變更一個(gè)Key。網(wǎng)站安裝時(shí)會自動(dòng)生成一個(gè)隨機(jī)的值。

• XSS 防御設(shè)置

$_config['security']['urlxssdefend'] = 1;	// 自身 URL XSS 防御	

• SQL 安全性防御

$_config['security']['querysafe']['status'] = 1;	// 是否開啟SQL安全檢測，可自動(dòng)預(yù)防SQL注入攻擊
$_config['security']['querysafe']['dfunction']['0'] = 'load_file';
$_config['security']['querysafe']['dfunction']['1'] = 'hex';
$_config['security']['querysafe']['dfunction']['2'] = 'substring';
$_config['security']['querysafe']['dfunction']['3'] = 'if';
$_config['security']['querysafe']['dfunction']['4'] = 'ord';
$_config['security']['querysafe']['dfunction']['5'] = 'char';
$_config['security']['querysafe']['daction']['0'] = 'intooutfile';
$_config['security']['querysafe']['daction']['1'] = 'intodumpfile';
$_config['security']['querysafe']['daction']['2'] = 'unionselect';
$_config['security']['querysafe']['daction']['3'] = '(select';
$_config['security']['querysafe']['daction']['4'] = 'unionall';
$_config['security']['querysafe']['daction']['5'] = 'uniondistinct';
$_config['security']['querysafe']['dnote']['0'] = '/*';
$_config['security']['querysafe']['dnote']['1'] = '*/';
$_config['security']['querysafe']['dnote']['2'] = '#';
$_config['security']['querysafe']['dnote']['3'] = '--';
$_config['security']['querysafe']['dnote']['4'] = '"';
$_config['security']['querysafe']['dlikehex']   = 1;
$_config['security']['querysafe']['afullnote']  = '0';	

• 創(chuàng)始人的設(shè)置

$_config['admincp']['founder'] = '1'; // 站點(diǎn)創(chuàng)始人：擁有站點(diǎn)管理后臺的最高權(quán)限，每個(gè)站點(diǎn)可以設(shè)置 1名或多名創(chuàng)始人
				      // 可以使用uid，也可以使用用戶名(nickname)；多個(gè)創(chuàng)始人之間請使用逗號‘,’分開;

• 驗(yàn)證后臺管理IP（建議開啟）
  

$_config['admincp']['checkip'] = '1'; // 后臺管理操作是否驗(yàn)證管理員的 IP, 1=是[安全], 0=否。
				      // 僅在管理員無法登陸后臺時(shí)設(shè)置 0

• 后臺是否允許執(zhí)行相關(guān)的MySQL操作（建議關(guān)閉）
  

$_config['admincp']['runquery'] = '0'; // 是否允許后臺運(yùn)行 SQL 語句 1=是 0=否[安全]

• 后臺恢復(fù)數(shù)據(jù)
  

$_config['admincp']['dbimport'] = '0'; // 是否允許后臺運(yùn)行 SQL 語句 1=是 0=否[安全]

• 用戶登錄錯(cuò)誤驗(yàn)證IP
  

$_config['userlogin']['checkip'] = '1'; //用戶登錄錯(cuò)誤驗(yàn)證IP，1=是[安全], 0=否。對于同一ip多用戶同時(shí)使用時(shí)（多見于內(nèi)網(wǎng)使用時(shí)),可以設(shè)置為0,否則當(dāng)有一位用戶登錄錯(cuò)誤次數(shù)超過5次，該ip被鎖定15分鐘，導(dǎo)致其他的同IP用戶無法登陸;