利用.htacess来防止恶意登录和SQL注入攻击!
最近估计我的博客有犯小人了,总是被恶意的频繁的恶意登陆和SQL注入攻击,虽然主题提供了隐藏登录地址和登录保护以及登录错误邮件提醒功能,很有效的防范了这种无聊的低级攻击,但是每天邮箱里都要堆满上百封的登录错误提醒邮件也是以一个很烦人的事儿,今天抽空加强学习了一下.htacess的设置部署,可以很好的防止恶意登陆和SQL注入攻击,使用Apache Web服务器的站长们可以借鉴一下!
其实这种攻击对于博客来说前端几乎是没有什么感觉的,就是会对服务器有点压力,但也都是在可承受范围内的,基本上不用理会的,但是作为一个折腾达人,没有理由不做出反应呀!要不那些犯贱的小白级“黑客”真以为本人好欺负呢!正是孰可忍孰不可忍,所以站在强化网站安全的角度上来说还是很有必要折腾的!
SQL注入攻击小常识:
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
SQL注入攻击可以说是最常见的一种攻击方式了,所以就先来讲这个吧,在.htacess里其实很简单,只需要加上如下代码即可:
# 防sql注入等恶意请求Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
OK,加入上述代码后就可以在Web服务器端有效的防止SQL注入的攻击了,这又算是加强了一下服务器的安全了!
下面来说说防范恶意登录的,其实这种是最恶心人的一种登录,我都隐藏登录地址了,就是不明白你登录还有什么意义呢?每一次恶意登陆后都会给你自动转到百度首页去,真是不明白这些攻击人的智商是怎么回事儿?一句话“智商堪忧”呀!
每天都要收到上百条这样的邮箱,真是他妈的烦人!
在.htacess里加入如下代码首先来保护wp-loging.php文档:
# BEGIN 保护 wp-config.php 文件order allow,deny deny from all# BEGIN
如此即可,至于效果这两天在观察一下看还能不能收到登录失败的邮件提醒了!
最后附赠大家一个通过.htacess来防止垃圾评论骚扰的方法,目前我两个网站都用了,感觉还不错!(记得要把代码中的yourdomain.com改为你自己的域名噢!)
# 屏蔽wp-comments-post.php被直接访问RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.*.yourdomain.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]
本文提出的解决方案,思路还不错,希望以后有机会可以亲自按照上面的步骤试一试
原文地址:https://www.imydl.com/wzjs/3068.html
总之感觉Apache的.htacess真的,真的,真的好强大,善于利用的话可以很有效的提升网站的安全性和流畅性。
利用.htacess来防止恶意登录和SQL注入攻击!相关推荐
- OpenEMR登录模块SQL注入分析
聚焦源代码安全,网罗国内外最新资讯! OpenEMR简介 OpenEMR 是一种免费和开源的医疗实践管理系统(Electronic Health Records,EHR),是 ONC 认证的完整电子 ...
- sql sp_password登录名不存在或 权限_什么是SQL注入攻击?怎么预防?
转自CSDN,作者hellochenlu/网易号,云计算那些事 互联网的攻击形式千万种,威胁最大的独一份,就是SQL注入了!由于它的危害之大,它也成为了每一个运维工程师为客户部署业务系统前必做的防御. ...
- 防止sql注入攻击的方法总结
SQL注入是一种利用未过滤/未审核用户输入的攻击方法("缓存溢出"和这个不同),意思就是让应用运行本不应该运行的SQL代码.通过把SQL命令插入到Web表单递交或输入域名或页面请求 ...
- SQL注入攻击再度肆虐殃及大量网站
据研究人员称,上周一个自动SQL注入攻击劫掠了超过70,000个美国网站,并顺带攻击了访问这些网站的大量PC机用户.通过Google可以很容易搜索到受攻击的网站,网页内容千差万别,包括教育网和政府网域 ...
- sql参数化还是被注入了_面试官问你 SQL 注入攻击了吗?
目录 为什么要聊 SQL 注入攻击? 什么是 SQL 注入攻击? 如何进行 SQL 注入攻击? 如何防范? 常见面试题 瞎比比 为什么要聊 SQL 注入攻击? 我这人有个想法,就是不管自己跳不跳槽,每 ...
- 2017-2018-2 20179216 《网络攻防与实践》 SQL注入攻击
1. SQL语言 结构化查询语言(Structured Query Language)简称SQL:是一种特殊目的的编程语言,是一种数据库查询和程序设计语言,用于存取数据以及查询.更新和管理关系数据库系 ...
- Spring MVC防御CSRF、XSS和SQL注入攻击
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击). 说说CSRF 对CSRF来 ...
- C# 检查字符串,防SQL注入攻击(转载)
这些天,CSDN上讨论SQL注入攻击似乎是如火如荼啊...我也来参合一下..如下,CheckParams函数,接收参数任意,如参数中有字符串,则对字符串进行检查,如参数中有集合(如Array之类,总之 ...
- 如何防止网站被SQL注入攻击之java网站安全部署
SQL注入攻击(SQL injection)是目前网站安全以及服务器安全层面上是最具有攻击性,危害性较高,被黑客利用最多的一个漏洞,基本上针对于网站代码,包括JAVA JSP PHP ASP apac ...
最新文章
- HDU 1273 漫步森林
- 当 AI 闯入法律界,第一步是当律师的得力助手
- 命名人工智能最高奖,破译德军密码,却被祖国逼得自杀-6月7日
- EventBus简单分析
- Windows魔法堂:解决“由于启动计算机时出现页面文件配置问题.......”
- java list用法 包,java list用法示例详解
- 通过IP地址查计算机名
- ECSHOP其他页面调用首页的FLASH主广告
- .NET6之MiniAPI(十八):OpenAPI swagger
- 关系代数基本运算_关系代数的基本和附加运算
- lamda 对比两个list_正式支持多线程!Redis 6.0与老版性能对比评测
- javax.net.ssl.SSLException: java.lang.RuntimeException: Could not generate DH keypair
- redis介绍及常见用法
- chainmaker 区块链配置文件位置 版本号
- ITIL 4 Foundation题目-4
- 商户监控中一个基础的反洗钱规则不要漏了
- 获取用户的中文姓名,手机号,邮箱,地址,年龄等随机信息,MD5加密等常用的工具。
- Matlab指数函数e最小二乘法,最小二乘法拟合指数函数(Matlab编程),着急,
- css边框图片border-image切图原理
- vue.js解析lrc格式歌词文件