作為一款開源的php后臺框架，網站安全是一個非常重要的條件，不論你的網站功能有多強大，多易用，安全不過關，那也是沒有任何意義的，下文我們將分為服務器和代碼兩個方面細說 ## 服務器安全 1.服務器我們推薦Linux+Nginx+Mysql php推薦7.1以上 2.網站**上線**后，除runtime目錄和public/uploads目錄，其余目錄設置555或只讀權限 ``` chown www:www /var/www/yoursite -R chmod 555 /var/www/yoursite -R chmod u+w /var/www/yoursite/runtime -R chmod u+w config/addons.php chmod u+w /var/www/yoursite/public/uploads -R ``` 3.Nginx配置,，添加到server段中 ``` ## 禁止敏感文件的直接訪問 location ~ ^/(uploads|static)/.*.(php|php3|php4|php5|cgi|asp|aspx|jsp|shtml|shtm|pl|cfm|sql|mdb|dll|exe|com|inc|sh)$ { deny all; } ``` 4.Apache可以通過在`.htaccess`中配置來禁用PHP腳本執行 ``` RewriteEngine on RewriteCond % !^$ RewriteRule uploads/(.\*).(php)$ – \[F\] ``` 大家要記住一個原則，那就是：能執行php程序的目錄一定不要開放讀寫權限，而可以讀寫的目錄(比如上傳)一定不要賦予php執行權限 5.修改php.ini，禁用不安全的函數，配置如 ``` disable_functions = phpinfo,passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru ``` 6.配置open\_basedir來限制PHP訪問文件系統位置，例如： ``` open_basedir=/項目路徑/:/tmp/:/proc/ ``` 7.寶塔免費用戶可以在選擇你安裝的PHP版本-->安裝擴展-->bt_safe -->安裝 8.最重要的一點，一定要開啟快照或者自動備份，否則真的網站被黑，你會欲哭無淚 ## 代碼安全 1. config/app.php中的app\_debug和app\_trace設置false，關閉調試模式 2. 默認是域名綁定在public目錄，為唯一對外訪問目錄，不建議修改，除非是實在不支持域名綁定 3. 務必更改默認密碼，并不要設置的過于簡單，防止暴力破解 4. 后臺禁止訪問IP，可以在設置-網站設置中設置