对于组件安装时候的目录权限，本文不详细描述，如果安全很重要，那么你也可以按照以下的安全将components等目录做相应的设置，但是那样还不如需要安装时候打开写权限，安装后关闭写权限省心。

我主要关心上传文件保存目录的安全性。

1、首先上传文件的扩展名检查是要做的，非预期扩展名或者没有扩展名的文件都要关闭上传。

2、上传文件的只对 nobody（apache 1.0）,或者daemon(apache 2.X)具有644的权限

3、禁用目录或者虚机的 php 解析
<directory "d:/web/test“>
php_flag engine off
</directory>

以上做法应该基本可以保证安全了，当然其他的通常的apache设置还是要做的。

转自Joomla开源天空 www.maycode.com

[ 本帖最后由 山河 于 2008-3-28 14:44 编辑 ]

其实有地方要注意，就是administrator 目录的加密问题

你可以使用多种方式， 更改默认的administrator后台更改 或者 直接使用htaccess 加密此目录。
不过，加密后会不会影响到正常的操作，我还没有测试过！

楼主，很细心呀