我计划使用 xampp standlone(使用 PHP 进行原型开发)。但是,我听说很多有关 xampp 的安全问题。
默认情况下,一切都已打开并准备好进行利用;默认情况下,http 端口为 80,并且以下陈述是正确的:
- 每个人都可以通过网络访问 xampp 页面
- mysql 管理员用户 root 没有密码
- phpmyadmin 可通过网络免费访问
我也读过很多关于机器人随机尝试访问此类服务器并部署其脚本、执行 .bat 命令、安装服务等的文章,但这可能与 xampp 无关。
所以,我的问题是,是否有任何教程、良好的做法、要禁用什么(尤其是如何禁用)?
我看过一些文献,但有点过时了(2007 年)。来源如下:http://robsnotebook.com/xampp-security-hardening。
此外,我还发现了这个 php 文件,它验证了 php.ini 中的基本安全性https://github.com/sektioneins/pcc
我正在尝试使 xampp 尽可能的安全。
答案1
事实上,XAMPP 上的默认设置根本没有提供任何安全性。但是,要修复您列出的这些不安全因素,请转到http://localhost/security/xamppsecurity.php在安装了 XAMPP 的本地主机网络上安装后立即执行。请记住,如果 APACHE 有除“80”以外的其他端口,请改为输入此地址:'http://localhost:93/security/xamppsecurity.php' 其中 ':93' 是端口号。
现在,通过输入两次强密码来保护您的 MySQL 超级用户帐户 (root)。将 PhpMyAdmin 身份验证类型更改为“http”而不是默认的“cookie”:这样做是为了让您的计算机上没有存储用于访问 PhpMyAdmin 的信息。取消选中“(File: C:\xampp\security\security\mysqlrootpasswd.txt)”选项,以避免将纯文本密码保存在文本文件中,因为这严重违反了所有网络和系统的安全协议。
最后,您可以点击“更改密码”按钮,您的 MySQL 和 PhpMyAdmin 应用程序是安全的。