Security 保护Zend Framework站点免受黑客攻击
我有一个Zend framework网站正在运行,实际上有人在ZF公用文件夹中上传了2个php脚本 我已将密码更改为cpanel,包括ftp、数据库等Security 保护Zend Framework站点免受黑客攻击,security,zend-framework,Security,Zend Framework,我有一个Zend framework网站正在运行,实际上有人在ZF公用文件夹中上传了2个php脚本 我已将密码更改为cpanel,包括ftp、数据库等 但是如何防止这种情况再次发生呢?如果不需要登录就可以访问pgrfilemanager,那么用户可以轻松地将他们想要的任何文件上传到您的站点。您需要找到一种方法来保护该脚本,或者以某种方式将您的ZF登录检查包含在脚本中,或者使用htaccess样式的登录来保护脚本(可能更容易)。如果不需要登录就可以访问pgrfilemanager,那么用户可以轻松
但是如何防止这种情况再次发生呢?如果不需要登录就可以访问pgrfilemanager,那么用户可以轻松地将他们想要的任何文件上传到您的站点。您需要找到一种方法来保护该脚本,或者以某种方式将您的ZF登录检查包含在脚本中,或者使用htaccess样式的登录来保护脚本(可能更容易)。如果不需要登录就可以访问pgrfilemanager,那么用户可以轻松地将任何文件上载到您的站点。您需要找到一种方法来保护该脚本,或者以某种方式将您的ZF登录检查包含在脚本中,或者使用htaccess样式的登录来保护脚本(可能更容易)。您的应用程序是否具有允许用户上传文件的功能?如果不是,那么你的问题可能在其他地方。是的,使用密码保护的管理员端的ckeditor和pgrfilemanger,使用Zenc_aclook,那么你的管理员站点可能需要登录,但是如果你将pgrfilemanager的直接URL粘贴到浏览器中,是否可以在不登录的情况下访问它?我认为,这是可能的。您可以将整个ckeditor文件夹和pgrfilemanager作为zend公用文件夹中的一个插件文件夹。是的,直接将url插入地址栏可以访问请不要交叉发布问题。请参阅此指南。您的应用程序是否具有允许用户上载文件的功能?如果不是,那么你的问题可能在其他地方。是的,使用密码保护的管理员端的ckeditor和pgrfilemanger,使用Zenc_aclook,那么你的管理员站点可能需要登录,但是如果你将pgrfilemanager的直接URL粘贴到浏览器中,是否可以在不登录的情况下访问它?我认为,这是可能的。您可以将整个ckeditor文件夹和pgrfilemanager作为zend公用文件夹中的一个插件文件夹。是的,直接将url插入地址栏可以访问请不要交叉发布问题。请参阅此指南。确定,但脚本实际上位于公用文件夹中。因为它是框架的入口点,而pgrfilemanager位于公用文件夹树中。public/ckeditor/plugins。而黑客将脚本放在public/中。公众的许可仍然是755。我已经和pgrfilemanager联系过了,你可以超越映射文件夹public/images。因此,我试图了解可能发生了什么。感谢您的回复。不过,这并不重要,他们可能已将PHP脚本上载到public/images,您仍然会遇到相同的问题。好的,但脚本实际上位于公用文件夹中。因为它是框架的入口点,而pgrfilemanager位于公用文件夹树中。public/ckeditor/plugins。而黑客将脚本放在public/中。公众的许可仍然是755。我已经和pgrfilemanager联系过了,你可以超越映射文件夹public/images。因此,我试图了解可能发生了什么。感谢您的回复。不过,这并不重要,他们可以将PHP脚本上载到public/images,您仍然会遇到同样的问题。