拒绝黑客巧设网站目录与数据库权限

musiccoffe · 发表于 2009-9-24 13:41:56

在网站运营的过程中，最令站长头痛的可能就是网站被入侵了，实际上，如果提前设置好网站的目录权限，就可以保证网站能够经受大部分的漏洞攻击。本文介绍了设置文件目录和数据库权限的方法，设置权限的方法也并不难，只要根据本文一步步进行操作，就可以大大提高网站的安全性。

网站目录权限的设置方法

大多数网站都是采用程序搭建，对于系统管理的目录，可以将其设置为可读也可执行脚本，但不可写入的权限;但是对于放置网页静态文件的目录，以及放置图片文件、模板文件的目录，就可以将其设置为可读写但不可执行的系统权限。在权限分配明确之后，即使系统被入侵，也只能浏览而无法对文件进行直接的操作。

对于能够执行脚本的文件，最好设置只能读而不能写的权限（如图），而需要写入的文件则将其设置为不能执行脚本，目录权限这样配置下来，网站系统的安全性会大大提高。

数据库权限也要仔细设置

对于网站来说，数据库可以说是站点的核心，所有网站的内容都存储在数据库中。所以说数据库安全也是需要注意的地方。对于MySQL数据库来说，最好不要对网站直接使用root管理用户的权限，而要专门为每个站点开通一个数据库账号，而且将账户的权限设置仅限于操作当前数据库目录，并且对这些单独的MYSQL账号去掉file和EXECUTE的执行权限，这样一来，即使数据库被SQL注入，也只能到数据库一级，而无法拿到整个数据库服务器的权限。这样一来，只要经常对网站的数据库进行备份，就很少会出现数据库被入侵的情况。

另外需要注意的是，由于很多建站系统并没有使用数据库的存储过程，因此最好禁用FILE、EXECUTE　等执行存储过程或文件操作的权限。

小提示：对于Access的数据库来说，可以将数据库的存放位置进行修改，最好是较为隐蔽的目录，这样会避免数据库文件被恶意探测下载。另外，一些程序也支持修改后缀，比如可以将。mdb的数据库文件修改为。asa等后缀名，同样可以有效地保护数据库安全。

删除不需要的文件

很多内容管理系统中，都会在空间中存在很多以后并不需要的文件，最普遍的可能就属于系统安装文件了，这类文件通常被命名为install.php或者install.asp，如果你的空间中存在类似的文件，现在就赶快删除吧。

另外，一些CMS也会存在很多功能，如问答系统等等，但是往往这些功能在网站中都不会用到，这时候就建议将这些功能的目录删除，或者仅保留Html静态页面，然后将目录设置为可读写但不可执行的权限。

		自动登录	找回密码
密码			注册

全国各地医院查询	重量转换换算	RGB颜色查询	交通标志大全	各类快递查询
简体繁体转换	黄金价格实时走势	万年历查询	实时汇率转换	列车时刻查询
在线翻译工具	CSS中文手册	HTML学习教程	MySQL中文手册	JavaScript中文手册
PHP安全基础手册	PHP5面向对象编程教程	正则表达式系统教程	SQL Server精华	Apache 2.2 中文手册
DOS命令全集指南	windows脚本技术中文版	股票行情查询	历史上的今天	邮编区号查询
长度转换换算	货币汇率转换	常用电话号码	体育彩票查询	手机位置查询
域名Whois信息查询	谷歌PR值查询	台州网站建设	台州网站开发	台州域名注册
天气预报查询	长度转换换算器	在线电子地图	车牌号码查询	中国百家姓查询