[系統安全] 讓 b2evolution 的密碼保護更安全一些

我一直對 php-based 的密碼防護有蠻大的顧慮,將連線帳號密碼以明碼的方式寫入 php 設定檔中,感覺實在甚不安全。剛好在升級 xoops 系統時,爬文看到此篇:「把管理者帳號和密碼從Mainfile.php中移出來」 。想說應該同樣的方式也適用在 b2evolution 的系統下!

原理其實很簡單,b2 的帳號密碼是放在 \conf\_basic_config.php 中,不要把帳號密碼放在這裡,而是改成:

$db_config = array(
	'user'          => $db_user,     // your MySQL username
	'password'      => $db_passwd,     // ...and password
	'name'          => $db_name,  // the name of the database
	'host'          => 'localhost',    // MySQL Server (typically 'localhost')
);

而帳號密碼抽離出來,另存成一個檔案,就名為 b2evolution-auth.php ,放在 securedata 目錄下 (目錄與檔案名稱均可自訂) :

$db_user   = "username";   //database username here 
$db_passwd = "password";  //database password here 
$db_name   = "b2evolution";    //your database name here 

而在原來的 _basic_config.php 內容中,在第一行加入如下:

include ("/home/hsdctw/securedata/b2evolution-auth.php");

該檔案存放的位置就是重點了。可不是存在 b2evolution 的子目錄下,而是應該儲存在你的 home 目錄,或者是在虛擬主機給你的根目錄下。例如以我的為例,就是放在 /home/securedata 下。如此除非 Hacker 有登入虛擬主機系統的權利,否則是無法從 web 下讀取到該檔案的內容,自然這也就形成密碼保護的目的了。

[系統升級] b2evolution from 1.10.2 to 1.10.3

再一次把我的 Blog 系統給升級到最新的穩定版。我使用的系統為 b2evolution,好像國內的用戶不多? 記錄一下升級步驟:

  1. 備份資料庫 (MySql) 與 html 目錄檔案。
  2. 解壓縮所下載回來的最新版本 (目前為 1.10.3 “Key West” 11/01/2007)。
  3. 把所有原來目錄的檔案全砍掉! (是的,這是官方建議的升級方式)
  4. 上傳解壓縮後所有的目錄檔案。
  5. 執行 http://yoursite.com/yourblogsfolder/install
    此步驟會問你連結資料庫的設定以更新資料庫,若沒有變動照預設即可,它會變更設定到 /conf/_basic_config.php 。
  6. 再來就是把原來所備份檔案中,自己曾客製化過的檔案,一個一個給 copy 覆蓋過去。這裡強烈建議使用 WinMerge 工具來作比對。

最後一個步驟是最麻煩的,不過我發現到使用 WinMerge 後,其實也還好,比對的工作花我不到一個小時,而含整個升級程序,我大概花兩個小時左右就完成升級了。

※ 官方升級步驟文件: Upgrade from an older version

本站中文亂碼顯示問題已解決!

一直有網友反應,若是在 Linux 系統跑 Fireforx,或者 Windows XP 英文作業系統下,瀏覽我的部落格一直是亂碼,除非依照我原先貼出的:「解決本站中文顯示亂碼時的瀏覽器設定方式~

這仍是很麻煩的解決方案,而且也不合理。利用空檔時間,仔細找了 b2evolution forum 上有否類似的問題,後來在一篇文章中找出,應該是 ‘conf/_locales.php’ 的問題,只要在下列兩行新增 utf-8 即可:

 $force_io_charset_if_accepted = ‘utf-8’;
 $db_config[‘connection_charset’] = ‘utf8’;

呼,這麼簡單的解決方式,卻是找了好久。不過總算由來以久的亂碼顯示問題給解決掉了!

{PHP 程式} 大量匯入資料至 MySQL 的好工具— BigDump

phpmyadmin 麻煩的是,要匯入超過 2MB 以上的文字資料檔時,預設是不容許的,還要修改包括 php.ini 等設定檔才可!

今日從 ServerZoo 下載儲存我的 Blog 資料,呼,超過 21MB!! 我又不太會用 MySQL 的 command mode 匯入工具,所以上網找了一下資料,是否有簡單易用、協助匯入(import)的好工具。

看到阿修的部落格介紹到— BigDump-MySQL資料匯入好幫手 ,看起來不錯,就到了官方的首頁下載回來用。

只是一個超迷你的 php 程式,放入 webserver 的根目錄即可,然後改一下改檔案的內容,包括要匯入的資料庫名稱、連線使用者、密碼與 url 等。執行後,直接匯入已下載回來的文字檔,執行匯入動作,21MB 的資料,很快耶,好像不到兩分鐘就已匯入完畢,還有執行結果與過程的網頁畫面耶(好像是用 AJAX 寫的)。 稍微注意一點的是,官方網站好像說明可以直接執行 .gz 的壓縮檔,但我執行會出問題,乾脆先利用 WinRAR 解壓縮,然後改一下文字檔的內容,如將 “Create Database” 等 SQL 命令給 comment 掉。

Blog 被駭,資料全毀!! (2007/07/24)

星期日晚上,某位網友 msn 告訴我,我的 Blog 被駭了!! XX(

馬上連線到我的站台,哇! 首頁已被改為駭客到此一遊的紀念,還給我播放音樂呢。 透過 FTP 連線,慘! 所有程式都被砍掉,包括資料庫,全被砍得一乾二淨!

當下臉都綠了一大半,因為,我沒有備份呢。 :'( 趕緊寫信給我的主機廠商— ServerZoo。我是約晚上 10 點多寫的信,沒想到,竟然還有客服人員馬上 Email 回信給我,問我是否要還原? 馬上回信請他們幫我還原,呼,還好,資料全部都在。這點我真的很感謝 ServerZoo,他們的服務真是好,星期日還有網管人員協助服務,而且更重要的是,他們都有對主機作備份,否則,我辛苦大半年寫的 Blog 文章,可就會不見了(我只有約半年前的備份)。

問題出在哪裡? 我也不知道 :| 該如何處理? 第一、馬上升級 Blog 系統,現在我的系統是 b2evolution 1.10.2 “Florida” (2007/06/28);第二,變更密碼,從資料庫到 Blog 站台的管理者密碼全改掉;第三、更改 config 檔的權限,原先是 644,現改為 440。

Mark msn 告訴我,最有可能的問題是從內部侵入,因為像我如此嚴重的全被砍掉,有可能是同一主機的其他用戶可能被值入了「僵屍電腦」,再透其盜用同一主機用戶的密碼。不知道耶,這些我都搞不懂,是還好,因為有資料庫的備份,所以我只花了三個小時就全部還原並重新升級為新系統了。

我想,明日還是打個電話請問一下 ServerZoo,看看問題可能出在哪裡。若可以,能調出主機存取記錄的話,那應該會比較容易查到問題的根源。

小蓁妮的新部落格—「☆草莓POP﹌可以吃咩?」

我們家蓁妮,又去申請了一個新的 Blog,煥然一新! 版面全是她自己設計,然後抓了一堆的 Blog Sidebar,弄得溫馨又可愛,就是有那種小女生的味道。 站名是「☆草莓POP﹌可以吃咩?」。這是什麼意思? 我也不知道。:crazy: 副標題則是:「一個瘋癲小學生的日記…… 一個精彩大世界的日記…… 還有… 一顆甜美小草莓的日記」,呵,真的很有趣。

引用她在五年級結業式後,與三五好友同學們去公館逛的記趣。我們蓁妮喔,真的蠻會寫文章,她做某一件事時,總是很認真,看起來長長的文章,好像也花不到一個小時就給寫完了。

什麼? 結業式完後蓁妮她們就放暑假,然後開學時就升上六年級了耶。呼,我竟然有一個六年級大的女兒了!! 老了耶。:no:

喔耶!修業式囉!~
今天要跟朋友逛公館,好爽喔!
再閱讀之前先看看朋友介紹吧!

——————————————————————————–

〈這係按照真正名字筆劃排低唷!〉

○一號○ 雪梨 是個很愛搞怪,超kuso的小女孩
○二號○ 米雪兒 是個超fashion,相處五年滴朋友~
○三號○ 石頭 超聰明,但思想不太純潔!
○四號○ 萱萱 行為優雅,正港a淑女,但有點黃色

——————————————————————————–

§十二點§

跟老師道再見後,我就離開了,
跟萱萱和米雪兒一起走路回米雪兒家!
第一次自己走路回家感覺好爽喔!

§十二點三十幾分§

終於到了米雪兒家,喝喝飲料,換一下衣服,
小歇一會兒,聊聊天,消磨一下時間!

§一點三十幾分§

石頭、雪梨都到米雪兒家了,
還是聊聊天,外加一起看漫畫、
看電視跟聽音樂!

§兩點三十分§

出發去公館囉!
我們在捷運上大鬧,
換車之後,終於到公館囉!
但是……哇哩咧!下雨了啦!

§兩點五十幾分§
首先,我們先去的就是抓娃娃機,
浪費我的四十塊,爛機器!爛機器!(迷:明明就是自己技術不好你還敢說)))))))踹飛~~~

接著就去蓋酷家族拍大頭貼囉!
其實這係我第一次拍耶!
感覺好興奮喔~~拍出來的成果也很滿意,

因為我們都是正妹和美人胚子~~

§四點多§
我們去吃頂呱呱,超讚!
接著就回家,在捷運前,
有一位大哥哥把我們攔下來,
我當時很害怕!以為他要跟我們搭訕!
然後他就給我一包胸針,裡頭有三個,
我就想說:哇賽!普通路邊都送衛生紙啊!
這個人送胸針,未免太好了一點吧!
結果我才看到……定價兩百元…..

後來,他跟我們說,
他是復興美工的學生,這些胸針都是他們自創的喲!
從早上九點賣到現在,雖然我不知道為甚麼要籌錢,
也許是家境不好之類的,但是我看到了一個皇冠圖案
真的很可愛,所以我就買下來了!一百元耶,有點坑錢

§五點三十分§

到米雪兒家了!
我一直混到八點四十幾分,
大家都回家了,我也該回家了….

§八點五十幾分§

我在四號公園玩了一下,
去吃古早味黑糖挫冰,超冰!超好吃!

——————————————————————————–

修業式,暑假,跟,功課。

軟體思維顧問

專職軟體輔導與教育訓練的獨立顧問。輔導企業資訊單位如何有效組織系統開發與維護;輔導開發人員達成有效的專業分工。傳授如何把軟體作軟 (Keeping Software Soft)的技能,得以提昇系統的彈性/延展,並進而創造系統的再利用價值。

Personal