若使用appserv然後傻傻的沒改設定
可是會讓你家門戶大開
輕者資料庫被亂搞,重者資料被盜用、下木馬都有可能喔
首先安裝好後,www目錄下不必要的檔案請先刪除
(但phpMyAdmin別刪掉了......)
接著修改以下設定
1.修改phpmyadmin登入設定
進入phpmyadmin資料夾(預設是C:\AppServ\www\phpMyAdmin)
用文字編輯軟體(記事本Notepad、Notepad++)打開config.inc.php
搜尋「$cfg['Servers'][$i]['auth_type']」
若它後面的值為cookie,將值改為http(彈出對話視窗)或cookie(出現登入畫面)
2.修改apache設定
進入apache資料夾,找到conf資料夾(預設是C:\AppServ\Apache2.2\conf)
用文字編輯軟體打開httpd.conf改變以下設定
ServerTokens ProductOnly
ServerSignature Off
這兩行不讓伺服器流出版本資訊
<Directory />
Options FollowSymLinks
拿掉ExecCGI不讓所有目錄可執行CGI
Indexes則會讓路人都看到你的資料夾底下有甚麼檔案
<Directory "C:/AppServ/www">
Options FollowSymLinks MultiViews
建議也是拿掉上面那兩個選項
更多設定請參考鳥哥http://linux.vbird.org/linux_server/0360apache.php#www_basic_basic
3.修改php設定
進入C:\Windows
用文字編輯軟體打開php.ini改變以下設定
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
關閉一些跟系統有關的函數
register_globals = Off
關閉自動註冊成全域變數
magic_quotes_gpc = On
可以防止SQL Injection
allow_url_fopen = Off
可以防止從http引用到不該引用的東西
display_errors = Off
千萬不要顯示錯誤訊息
log_errors = On
error_log = 你想放錯誤紀錄的檔案位置
會將伺服器的錯誤記錄在文字檔
open_basedir = C:\AppServ\www
設定你的起始資料夾,避免被存取網站以外的目錄
expose_php = Off
這行不讓伺服器流出版本資訊
以上資訊為本人一些經驗,並不保證100%安全
若要讓自己的伺服器更安全就要多研究囉!
沒有留言:
張貼留言