利用.htacess来防止恶意登录和SQL注入攻击！

最近估计我的博客有犯小人了，总是被恶意的频繁的恶意登陆和SQL注入攻击，虽然主题提供了隐藏登录地址和登录保护以及登录错误邮件提醒功能，很有效的防范了这种无聊的低级攻击，但是每天邮箱里都要堆满上百封的登录错误提醒邮件也是以一个很烦人的事儿，今天抽空加强学习了一下.htacess的设置部署，可以很好的防止恶意登陆和SQL注入攻击，使用Apache Web服务器的站长们可以借鉴一下！

其实这种攻击对于博客来说前端几乎是没有什么感觉的，就是会对服务器有点压力，但也都是在可承受范围内的，基本上不用理会的，但是作为一个折腾达人，没有理由不做出反应呀！要不那些犯贱的小白级“黑客”真以为本人好欺负呢！正是孰可忍孰不可忍，所以站在强化网站安全的角度上来说还是很有必要折腾的！

SQL注入攻击小常识：

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

SQL注入攻击可以说是最常见的一种攻击方式了，所以就先来讲这个吧，在.htacess里其实很简单，只需要加上如下代码即可：

# 防sql注入等恶意请求

Options +FollowSymLinks  
RewriteEngine On  
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]  
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]  
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})  
RewriteRule ^(.*)$ index.php [F,L]  

OK，加入上述代码后就可以在Web服务器端有效的防止SQL注入的攻击了，这又算是加强了一下服务器的安全了！
下面来说说防范恶意登录的，其实这种是最恶心人的一种登录，我都隐藏登录地址了，就是不明白你登录还有什么意义呢？每一次恶意登陆后都会给你自动转到百度首页去，真是不明白这些攻击人的智商是怎么回事儿？一句话“智商堪忧”呀！

每天都要收到上百条这样的邮箱，真是他妈的烦人！

在.htacess里加入如下代码首先来保护wp-loging.php文档：

# BEGIN 保护 wp-config.php 文件

order allow,deny
deny from all

# BEGIN 

如此即可，至于效果这两天在观察一下看还能不能收到登录失败的邮件提醒了！

最后附赠大家一个通过.htacess来防止垃圾评论骚扰的方法，目前我两个网站都用了，感觉还不错！（记得要把代码中的yourdomain.com改为你自己的域名噢！）

# 屏蔽wp-comments-post.php被直接访问
  
RewriteEngine On  
RewriteCond %{REQUEST_METHOD} POST  
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*  
RewriteCond %{HTTP_REFERER} !.*.yourdomain.com.* [OR]  
RewriteCond %{HTTP_USER_AGENT} ^$  
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]  
  

本文提出的解决方案,思路还不错,希望以后有机会可以亲自按照上面的步骤试一试

原文地址:https://www.imydl.com/wzjs/3068.html

总之感觉Apache的.htacess真的，真的，真的好强大，善于利用的话可以很有效的提升网站的安全性和流畅性。