Joomla/configuration.php文件操作

Joomla的一大优点就是简易。通过图形界面就能完成安装并开始管理网站。省却了手动编辑config文件的繁琐，也带来了一点安全隐患。因为现在大家都知道Joomla的configuration.php 文件里面含有网站的绝对地址、数据库账号及密码——这一切数据都是明文，没有加密；而且该文件位于Joomla根目录下，并且文件名称永远是这个！

想想看，别人知道了你的网站域名，就知道了configuration.php文件的位置。假如某些人通过某种方法阅读了该文件的内容，然后通过数据库再得到超级管理员的用户名及密码，你的网站基本上就是裸体展示了。因此，本条目介绍两种方法保护你的Joomla站点配置文件。

注意：请做好备份

“隐性埋名”

比如说，你可以将configuration.php 文件重命名为hackconfig.php ，由于很多文件将读取配置文件，所以我们还必须修改其它文件的代码，使其将读取对象由原来的configuration.php 变为hackconfig.php 。

要完成这个工作，必须将网站所有文件都下载到本地硬盘，或者干脆在安装网站之前就进行——因为我们需要搜索、替换多个文件的代码。

借助一个可以在多个文件及子目录中搜索、替换的软件，如Dreamweaver或者EmEditor。本例使用DW。

现在我们通过查找、替换，将所有configuration.php都替换为hackconfig.php：

如上图所示，填写正确的信息后，点击“Replace All”，DW首先会警告你这样替换的操作无法复原，你点击Yes即可：

接下来DW会搜寻所有文件中的代码，所需时间较长，请耐心等待。在底部的结果面板上可以看到已经替换过的文件列表：

替换完成后，我们还要把根目录下的configuration.php-dist 文件重命名为 hackconfig.php-dist 。

这样，就完成了对 configuration.php 文件的改名保护工作。现在可以上传整个安装包开始安装网站了。

使用protconf

protconf组件的功能是可以在网站后台运行，自动进行configuraion.php文件的重命名，同时查找、替换网站所有文件中指向该文件的代码，将目标文件也相应修改为新的文件名。此组件的优势是：可以自动生成新的文件名，大小写混合，比一般用户自己想出来的文件名更难以猜破；重命名操作可以还原，以便安装新的扩展。更重要的是，这个组件具有“乾坤大挪移”的本领，可以将configuration.php文件移动到任何一个目录下，并且保证网站仍然能够正常运行。

目前该组件没有对多种语言的支持，protconf 的安装方法与标准组件相同，安装后无需为其建立前台菜单，因为它只在后台工作。

点击后台菜单上的“组件 -> Protect Configuration File”，可以看到四个子菜单：改变权限、重新命名、移动、恢复，一目了然。

参考来源

http://www.joomlagate.com/article/joomla10-tutorial/how-to-protect-joomla-configuration-file/