discuz论坛几种安全策略设置方法

最近公司准备搭建一个discuz论坛，大头让我调研一下discuz的安全策略，并提出如下几点要求：
1、防止php上传漏洞
2、防止大量刷新攻击
限制某个IP大量刷新某一页面导致论坛宕机
3、防止恶意注册、发帖
限制用户IP大量注册、大量发帖
关键字过滤
针对策略
我调研了相关的资料，针对大头提到的三条问题给出解决方案如下：
对第一条
1）防止上传php代码执行
配置nginx入口上对data|images|config|static|source|template 这几个可以上传的目录里的php文件禁止访问 。
（更安全一点就是列出放行的，其他全部禁止。）
对第二条
1）限制某个IP大量刷新某一页面导致论坛宕机
方案：
在 forum.php(论坛入口) 和 home.php（个人中心入口）分别加载“频率控制程序”。
频率控制程序记录ip的访问频率，将单位时间内达到阈值的ip加入黑名单。对来源ip在黑名单的请求，退出并返回警告。
对第三条
1）“限制用户IP大量注册”
个人觉得当前没有太大问题：
现在注册流程用的公司统一的帐号中心，注册要绑定手机号验证。这个注册条件基本可以杜绝一个人注册大量用户。
2）“大量发帖”
可以通过论坛自带的“防灌水”设置发帖间隔；
3）关键词过滤
论坛自带“敏感词”过滤功能。
也可以再一些过滤发帖和回复的插件
综上所述，对第一条需要nginx做相应配置，对第三条需要修改论坛的设置，难点在第二条“频率控制程序”的设计和实现上。“频率控制程序”初步打算使用redis的string类型结构，key为ip,value为频率，具体算法仁者见仁智者见智了。

疯狂暗示打赏按钮

本文标签：

声明：本文由代码号注册/游客用户【寻文】供稿发布，本站不对用户发布的discuz论坛几种安全策略设置方法信息内容原创度和真实性等负责。如内容侵犯您的版权或其他权益，请留言并加以说明。站长审查之后若情况属实会及时为您删除。同时遵循 CC 4.0 BY-SA 版权协议，尊重和保护作者的劳动成果，转载请标明出处链接和本声明内容。本文作者：寻文» https://www.ebingou.cn/dmh/16311.html

很赞哦！ ()