php.ini
safe_mode = On
display_errors = On
register_globals = Off
magic_quotes_gpc = On
disable_functions =phpinfo,passthru,exec,system,popen,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_open,proc_get_status
每一个站点单独建一个帐号.
如:IUSR_STUHACK_COM 设置密码 Guest权限.
D盘根目录只有Administrator和SYSTEM有访问权限
然后设置d:/vhost/stuhack.com/htdocs 权限 添加IUSR_STUHACK_COM 完全控制.
然后在IIS里找到您的站点.目录安全性.编辑选择IUSR_STUHACK_COM 输入密码 把集成身份难去掉.
mysql和php最好不要放在C盘.比如说D E盘.这样的好处是系统坏了.数据依然还在.
在php5只有读取和运行权限
phpsession phptemp 给IUSR_STUHACK_COM完全控制
mysql也给IUSR_STUHACK_COM完全控制权限
然后上传一个php木马.检查一下安全性..如果还有问题的话.就把php 和mysql的权限再降小一些...不过最好一边测试一边加权限..
