当前位置: 首页 > 图文教程 > 网站运营 > 建站经验 > 拒绝黑客巧设网站目录与数据库权限

建站经验
巧用模板 WP博客程序变身为CMS建站程序
如何开始准备网站建设 参看两份网站规划
建站先磨刀 网站整体策划注意的几个要点
个人实录:博客从Z-blog转换到WordPress
“无缝式网络整合式营销”将迎来新的发展契机
新手详解:提高网站流量的常用方法总结
磨刀霍霍去建站 先看网站建设的10个规划
菜鸟建站心得:用心做个有用的垃圾站
谷歌网站管理员详解 如何去建立多语种网站
使用文章来增加流量和排名
步骤详解:如何去建立一个英文网站的站群
固若金汤 网站后台不容忽视的几个安全问题
跟伪黑客道永别 加固你的网站从此不再被黑
做好这八个方面:让你的网站达到人见人爱
购机走出概念模糊 谈虚拟主机的三种限制
被封网站应该如何解救
三级以下城市如何运营分类网站
学生建站应该注意四个要点
看到他的后院去:如何分析竞争对手的网站
现实面前我们需要坚持 个人站长也是如此

建站经验 中的 拒绝黑客巧设网站目录与数据库权限


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-17   浏览: 127 ::
收藏到网摘: n/a

在网站运营的过程中,最令站长头痛的可能就是网站被入侵了,实际上,如果提前设置好网站的目录权限,就可以保证网站能够经受大部分的漏洞攻击。本文介绍了设置文件目录和数据库权限的方法,设置权限的方法也并不难,只要根据本文一步步进行操作,就可以大大提高网站的安全性。

网站目录权限的设置方法

大多数网站都是采用程序搭建,对于系统管理的目录,可以将其设置为可读也可执行脚本,但不可写入的权限;但是对于放置网页静态文件的目录,以及放置图片文件、模板文件的目录,就可以将其设置为可读写但不可执行的系统权限。在权限分配明确之后,即使系统被入侵,也只能浏览而无法对文件进行直接的操作。

对于能够执行脚本的文件,最好设置只能读而不能写的权限(如图),而需要写入的文件则将其设置为不能执行脚本,目录权限这样配置下来,网站系统的安全性会大大提高。

数据库权限也要仔细设置

对于网站来说,数据库可以说是站点的核心,所有网站的内容都存储在数据库中。所以说数据库安全也是需要注意的地方。对于MySQL数据库来说,最好不要对网站直接使用root管理用户的权限,而要专门为每个站点开通一个数据库账号,而且将账户的权限设置仅限于操作当前数据库目录,并且对这些单独的MYSQL账号去掉file和EXECUTE的执行权限,这样一来,即使数据库被SQL注入,也只能到数据库一级,而无法拿到整个数据库服务器的权限。这样一来,只要经常对网站的数据库进行备份,就很少会出现数据库被入侵的情况。

另外需要注意的是,由于很多建站系统并没有使用数据库的存储过程,因此最好禁用FILE、EXECUTE 等执行存储过程或文件操作的权限。

小提示:对于Access的数据库来说,可以将数据库的存放位置进行修改,最好是较为隐蔽的目录,这样会避免数据库文件被恶意探测下载。另外,一些程序也支持修改后缀,比如可以将。mdb的数据库文件修改为。asa等后缀名,同样可以有效地保护数据库安全。

删除不需要的文件

很多内容管理系统中,都会在空间中存在很多以后并不需要的文件,最普遍的可能就属于系统安装文件了,这类文件通常被命名为install.php或者install.asp,如果你的空间中存在类似的文件,现在就赶快删除吧。

另外,一些CMS也会存在很多功能,如问答系统等等,但是往往这些功能在网站中都不会用到,这时候就建议将这些功能的目录删除,或者仅保留Html静态页面,然后将目录设置为可读写但不可执行的权限。