DEDECMS如何防止入侵?最新万能安全防护代码解析

　　在国内的CMS中，用织梦DEDECMS作为建站内核的网站很多很多，其中有中型的企业网站，有小型的个人网站，也有更多的垃圾内容网站。使用人数越多，其安全性尤其需要重视。经常在论坛看到有些站长说自己的网站被挂马，数据被删除，更多的应该是被挂黑链接。Dedecms的安全问题从去年持续到今天依旧有不少的问题，今天小编贡献一段比较有用的防护功能代码，使得网站可以有更好的安全性能。对于这个原理来说，是防止别人通过sql注入漏洞，添加管理员后台账号密码，然后往服务器或者空间里上传PHP木马，后门程序。从而在上传PHP文件这个环节卡住入侵者，很多所谓的“黑客”都是用工具来扫描入侵，厉害点的人是不屑来黑我们的小网站的，所以我们一般做好安全防护就可以了。

　　具体方法如下：

　　为了让大家的CMS更安全，有需要的手工在config_base.php里加上

　　打开

　　config_base.php

　　找到

　　复制代码

　　//禁止用户提交某些特殊变量

　　$ckvs = Array('_GET','_POST','_COOKIE','_FILES');

　　foreach($ckvs as $ckv){

　　if(is_array($$ckv)){

　　foreach($$ckv AS $key => $value)

　　if(eregi("^(cfg_|globals)",$key)) unset(${$ckv}[$key]);

　　}

　　}

　　替换成下列代码：

　　//把get、post、cookie里的<? 替换成 <?

　　$ckvs = Array('_GET','_POST','_COOKIE');

　　foreach($ckvs as $ckv){

　　if(is_array($$ckv)){

　　foreach($$ckv AS $key => $value)

　　if(!empty($value)){

　　${$ckv}[$key] = str_replace('<'.'?','&'.'lt;'.'?',$value);

　　${$ckv}[$key] = str_replace('?'.'>','?'.'&'.'gt;',${$ckv}[$key]);

　　}

　　if(eregi("^cfg_|globals",$key)) unset(${$ckv}[$key]);

　　}

　　}

　　//检测上传的文件中是否有PHP代码，有直接退出处理

　　if (is_array($_FILES)) {

　　foreach($_FILES AS $name => $value){

　　${$name} = $value['tmp_name'];

　　$fp = @fopen(${$name},'r');

　　$fstr = @fread($fp,filesize(${$name}));

　　@fclose($fp);

　　if($fstr!='' && ereg("<\?",$fstr)){

　　echo "你上传的文件中含有危险内容，程序终止处理！";

　　exit();

　　}

　　}

　　}

　　这样处理之后，安全上理论上可中做到一劳永逸，但缺点是使用此功能后，不能在线上传PHP文件，如果你的站点同时支持asp、aspx等，在此基础上修改一下上述代码即可。