ECShop 网店安全建议参考

ECShop 太古老了,自从被收购之后就沦为弃儿了,,不过用的人还真不少,, 以下安全建议仅供参考 服务器及程序目录方面: 1、只开放 temp,images,themes,data这4个目录的读写权限,其他目录包括根目录只能读取,即为0644。 2、删除备份文件夹,demo文件夹,install等文件夹。 3、mysql数据库,默认前缀是ecs,建议将他修改成其他的。 4、修改PHP.INI 文件配置 (1)# 禁用危险的函数 # disable_functions = phpinfo, system, mail, exec (2)PHP.INI.可关闭PHP自带的ZIP组件; (3)PHP.INI其他修改 #不将PHP错误消息暴露给外部用户 设定display_errors = Off 4、选一家“好”的空间服务商,比如阿里云。 ECShop软件自身方面: 1、272版本之后修改后台登录地址非常方便,修改admin文件夹名称为“ecdenglu”,打开data/config.php文件,搜里面所有“admin”字样改成“ecdenglu”字样就行,这样访问域名/ecdenglu 即可连接到后台,另外别忘了在robots.txt中禁止这个目录被搜索引擎爬虫抓取(参考:http://bar.baidu.com/robots/ )。 2、修改init.php文件,@ini_set(‘display_errors’, 1);改为@ini_set(‘display_errors’, 0); 2、修改cls_mysql.php文件的ErrorMsg函数,注释掉那些错误提示,或者把错误写入文件。 3、给所有$_COOKIE,$_POST,$_GET,$_REQUEST变量加sql关键字过滤。 4、关注下ECShop爆的漏洞,能修就修下! ECShop日常管理方面: 1、定期的清理一下垃圾会员帐号。 2、定期去官方论坛逛逛。 3、创建后台管理角色,分配“够用”权限,分配管理员帐户。 参考文档: ECShop 网店安全建议参考 http://bbs.ecshop.com/thread-149984-1-1.html http://bbs.ecshop.com/forum-99-1.html