ecshop安全的那些事

ecshop是开源系统，难免会有漏洞
请不要说ecshop不强大，不要说ecshop开发人员不严谨
试问哪个公司敢说自己网站绝对安全？

有个乌云漏洞网，天天在暴各大知名公司网站的安全问题，我们能做的，尽量避免和防范绝大多数后门或者漏洞！

1，设定好目录相关权限

只开放 temp,images,themes,data。4个目录的读写权限，其他目录只能读取，即为0644。

2，修改默认后台目录名称

修改默认后台文件目录admin,一般为难以猜解的目录名称，如“ab890Iadmin”，记得别忘了修改后台文件夹名称后还需要修改 data/config.php 里面的

define('ADMIN_PATH','admin');

3，修改默认数据库前缀，如果你安装的时候没有修改的话，可以参考我前面的《三种方法批量修改mysql表前缀》。

4，关闭ecshop 的sql错误提示，并把错误信息直接写入网站文件中，不直接显示到前台。

includescls_mysql.php 里面找到函数 function ErrorMsg($message = '', $sql = '') 修改成

function ErrorMsg($message = '', $sql = '')
{
	echo "Some Errors....pls check log file.";

	if(!file_exists(ROOT_PATH.'data/sql_log'))
	{
		mkdir(ROOT_PATH.'data/sql_log');
	}

	if ($message)
	{
	   $msg="ECSHOP inforn: $message";
	}
	else
	{
		$msg="MySQL server error report:rn".print_r($this->error_message,true);
	}       

	@file_put_contents(ROOT_PATH.'data/sql_log/'.date('Y-m-d-H-i-s',time()).'.txt',$msg);			

	exit;
}

5，删除帝国备份文件夹(使用过的话)，demo文件夹，install文件夹，upgrade升级文件夹(使用过的话)

6，删除ecshop自带的多余管理员

7，参考《ecshop去掉版权，去掉升级，去掉提醒完整版》

完成以上步骤，基本可以防护80%的ecshop漏洞以及后门了，剩下的就是主机的安全设置等问题了，这个度娘和谷哥里面有全方位的教程，这里就不详细阐述！