// TODO 安全问题广泛而复杂,我也不是全部都懂,所以本文档也会不断增补,也希望大家多多指正错误之处!
本文档产生的原因是:PSI虽然还没有开发完毕,但是已经有用户要投入实际生产环境使用了,并询问了我如何增强安全,于是我就开始动手编写这篇文档。
1、数据库的安全
1.1 原则1:在生产环境中,不要使用root,而是创建新用户来访问数据。
1.2 很多时候,原则1没有被很好的执行,那么下面就说说,如何修改root的密码,这个最初级的安全措施。
下面的操作,均基于PSI的发布的安装包,即XAMPP环境。
1.2.1 启动Apache 和MySQL
1.2.2 浏览器访问 http://localhost/phpmyadmin 出现如下界面
选择“用户”,出现如下界面:
选中 root localhost , 单击“编辑权限”,出现如下界面:
单击“修改密码”按钮,出现如下界面:
输入密码,然后单击“执行”按钮。
1.2.3 到这个时候,PSI和phpMyAdmin都不好用了,下面就讲如何修改PSI和phpMyAdmin的配置。
1.2.4 修改 D:\PSI\htdocs\web\Application\Common\Conf\config.php中的密码
1.2.5 如果存在 D:\PSI\htdocs\web\Application\Runtime 文件夹,把这个Runtime文件夹全部删除。这是ThinkPHP产生的缓存文件夹,之前的数据库配置会被缓存在这里,切记这一步! 如果没有该文件夹,就可以忽略本步骤。
1.2.6 经过上述步骤后,PSI就能在新的root密码的情况下运行了,但是phpMyAdmin不好用了,下面讲如何配置phpMyAdmin。
1.2.7 打开 D:\PSI\phpMyAdmin\config.ini.php
把这行
$cfg[‘Servers‘][$i][‘auth_type‘] = ‘config‘;
改为
$cfg[‘Servers‘][$i][‘auth_type‘] = ‘cookie‘;
1.2.8 再访问 http://localhost/phpmyadmin/ 界面就变成了
1.2.9 上述过程中,如果遇到问题,可以考虑“重启大法”:重启apache、mysql 。再加上一点细心,别改错了文件。
2、apache安全
2.1 实话实说,我不太懂apache的安全如何增强,敬请各位同学给出建议。
3、操作系统安全
这方面,如果是Linux我就是小白,啥也不懂。如果是Windows, 我也是小白,以前都是网管搞定的。
原文:http://my.oschina.net/u/134395/blog/384499