DedeCMS

织梦DedeCMS调用二级子栏目或者多级栏目解决方法

孤街醉人 提交于 2020-10-05 16:35:17
织梦DedeCMS调用二级子栏目或者多级栏目解决方法 参考文章: (1)织梦DedeCMS调用二级子栏目或者多级栏目解决方法 (2)https://www.cnblogs.com/fengzheng126/archive/2012/06/10/2544375.html 备忘一下。 来源: oschina 链接: https://my.oschina.net/u/4428122/blog/4660142

DedeCMS后台文件任意上传漏洞media_add.php的修改方法

允我心安 提交于 2020-08-18 21:34:04
网站迁移到阿里云之后,一直提示有一个漏洞,如下: 漏洞名称: dedecms后台文件任意上传漏洞 补丁文件: media_add.php 漏洞描述: dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限。 修改这个漏洞也是很简单,主要是文件/dede/media_add.php或者/你的后台名字/media_add.php的修改。 解决方法: 1、打开dede/media_add.php文件,找到第69行或者搜索代码: $fullfilename = $cfg_basedir.$filename; 修改为: if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$filename; 修改文件前请做好文件备份,将新的media_add.php文件上传替换阿里云服务器上即可解决此问题。 来源: oschina 链接: https:/

DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞

六月ゝ 毕业季﹏ 提交于 2020-08-15 07:29:51
漏洞 DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞 简介 dedecms v5.7 sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell. 文件 /dede/file_class.php 修复 打开 /dede/file_class.php 找到大概在161行 else if(preg_match("/\.(".$fileexp.")/i",$filename)) 复制 改成 else if(substr($filename, -strlen($fileexp))===$fileexp) 复制 来源: oschina 链接: https://my.oschina.net/u/4397179/blog/4309094

站群的作用是什么,要如何理解

岁酱吖の 提交于 2020-08-14 13:56:29
纯搬砖,对各位有帮助就好。 站群的作用主要有两个——养站和带流量。 针对企业网站优化来讲,建议做一个以养站为主的综合性的站群 养站:将一个栏目的权重做到高,以内容链接为主. 流量:采用js代码调用广告的形式,将站群的流量导入到主站.(在这里主要考虑用站群来养站,而不是做流量) 站群方案一般遵循的一个原则是:尽可能提升网站中某一个栏目的权重,用这个栏目来养主站的长尾关键词。 下面是站群的具体操作: 一、 域名的选择   站群在域名上的关键在于选择老域名,而不是去注册全新的域名。我在尝试的几个用站群软件维护的网站中,流量好的几个站都是自己曾经做过一段时间,后来放弃了,然后将那个域名改成站群的网站做的。   这样的域名可以到一些专门买卖域名的网站选择那些有一定pr,废弃没有多久的域名购买。 二、 服务器的选择   对于站群,因为都是垃圾站,对服务器的要求并不是很高。不过为了隐蔽站群,则要将站群IP尽可能的分散。对于做企业站为了养站而做的站群来说,因为站群的规模不会很大,建议直接只用虚拟空间即可。 三、 站群的布局   关于站群的网站数量问题,这个没有具体的答案。要维护一个网站,五个站的小站群可以,一百个站的站群则更好,总归是多多益善。这里,以做一个100个网站的站群来说明一下。   100个网站,可以以十个站为一组来建一个比较大型的站群。链接方式是:站群1组—>站群2组—>站群3组—

企业网站用哪种开源的CMS做比较好?

不问归期 提交于 2020-07-24 11:14:09
企业网站用哪种CMS做比较好?PHPCMS、DEDECMS还是帝国CMS 都2020年了,一个企业如果还没有自己的网站就out了。目前国内还是中小企业居多,在推广上面投入的资金有限,网站推广就是一个适合所有企业的低成本推广手段。使用开源的CMS是最快速经济的方法。国内开源的CMS主要有PHPCMS、DEDECMS与帝国CMS,下面赵一八就从每个CMS的优缺点来解答哪个CMS制作企业网站最合适。 DEDECMS也叫织梦CMS,是国内较早开源的CMS,在站长圈知名度是比较高的,很多站长的第一个网站就是使用织梦制作的。由于其简单易上手、适合优化的特性,是很多企业用来制作网站的首选。但织梦的缺点也是最多的,由于已经停止更新,很多BUG新手站长无法解决,这也是使用织梦制作的网站被黑客攻击的次数最多的原因,另外织梦CMS在网站数据量较大时,更新非常缓慢,甚至无法更新生成静态页面,这对于后期推广是致命的缺点,因此很多站长慢慢舍弃使用织梦CMS。 DEDECMS推荐指数:5 帝国CMS是三款CMS安全方面做得最好的,不用担心自身漏洞问题被黑站,可承载数据量巨大,运营一般规模的中型站点没有问题。但缺点是后台界面丑陋,模板标签调用比较复杂,入门较难。有些功能即使是很小的功能,也需要对帝国的核心程序大动干戈,对于新手站长制作网站难度较高。 帝国CMS推荐指数:7 PHPCMS在开发初期就采用了全新架构

免费CMS建站系统哪个比较好?如何选择?

别等时光非礼了梦想. 提交于 2020-04-26 22:37:39
现在有很多的人在建设网站的时候采用的都是 cms 系统,我国比较经常使用的是PageAdmin、DECMS、帝国系统等等不同的CMS系统使用的方向也是有所差异的,下面我们就来看下哪些建站系统会更加的好用一些。 CMS建站系统 一、PageAdmin系统 是国内 cms 市场发展最快的本地化系统,据说国内市场占有率超过50%。 1、安全:最新版本采用mvc模式开发,技术新,官方更新评率非常高,支持在线升级,安全性可以通过国家三级登保的要求。 2、模板丰富性:官方在模板也很多,包括各种的英语、俄语、日语模板你可以随意挑选。当然,网上免费模板也是比较丰富的,随机搜索就可以有很多模板进行选择,但是免费的普遍都是低版本。 3、上手简单:使用很简单,后台设计人性化,很适合新手或小白,小到一个个人站/企业站,大到一个购物平台网站都可以建,尤其模板制作方便,相对其他cms来说,模板这块设计很先进。 pageadmin网上有很多参考资料,大部分问题都可以在搜索引擎中找到。 二、DEDECM 目前,中国最早的 cms 系统,在各方面都十分的有优势。 1、安全:最初的DEDECMS团队被收购,接管织梦的团队在更新的频率上和以前相比有了很大水平的降低,这样的话有个不好的地方就在于在漏洞方面的修复十分的缓慢,目前已经处于停止更新状态,如果没有二次开发能力和修补漏洞的能力,黑客就很容易入侵。 2、模板丰富性

如何选择适合自己的CMS建站系统

有些话、适合烂在心里 提交于 2020-04-26 22:37:06
如今做网站已不像过去那样必须找网站公司才能建,因为网上针对建站的各种CMS建站系统层出不穷。像PageAdmin、DEDECMS、帝国CMS、Discuz等,这些CMS系统各有各的特点和优势,小熊优化的小编我从事网站制作和网站优化多年,和很多建站朋友一样,给客户建站时几乎都是用cms来做,国内所有主流的CMS系统几乎都用过了,比如做企业政府,我会想到用pageadmin,有人要做博客,我会首先想到用z-blog或wp,要做论坛,我会想到用Discuz,phpwind;要做商城,我会想到用ecshop等,做新闻网站我会想到用帝国,做淘宝客,垃圾站我会想到用dedecms。 但是小编还是经常在网上看见有新手问及”哪个CMS系统最好用”、”企业建站用那个CMS系统最多”等类似问题,今天小编就来和大家交流探讨下,我们该如何选择一款适合自己的CMS建站系统,评估一款CMS系统的专业水准高低,不在于其本身,而是要看谁用。需求决定功能,功能决定品质,不过为了给新手朋友一些参考,小编还是通过几个重要参考点给大家讲解一下各种cms的区别。 如何选择CMS 标准1: 牢靠的安全机制 无论你要做什么类型的网站,最终选择哪一款建站系统,安全总是我们最关注同的共同话题。几乎所有的网站都会受到各种网络攻击,比如DDOS攻击、SQL注入、垃圾信息等,尤其对于商业性质的企业网站,更容易成为黑客攻击的对象。

dede5.7 给栏目添加上缩略图

强颜欢笑 提交于 2020-03-10 12:03:32
此功能添加涉及到以下文件:   dede/catalog_add.php   dede/catalog_edit.php   dede/templets/catalog_add.htm   dede/templets/catalog_edit.htm   include/taglib/channel.lib.php   此升级修改方法,在V5.7,V5.7sp1 测试通过,其他版本未测试,原理基本相同,请大家自行测试是否可行。   首先给 栏目表(`#@__arctype`)增加一个字段typeimg alter table `#@__arctype` add `typeimg` char(200) NOT NULL default '';   修改catalog_add.php文件   打开dede/catalog_add.php   查找$queryTemplate = “insert into `#@__arctype`   将 (reid,topid,sortrank,typename,typedir,   替换为: (reid,topid,sortrank,typename,typedir,typeimg,   将 (‘~reid~’,'~topid~’,'~rank~’,'~typename~’,'~typedir~’,   替换为: (‘~reid~’,'~topid

网站安全公司对于网站逻辑漏洞的修复方案分享

久未见 提交于 2020-02-28 21:01:01
在网站安全的日常安全检测当中,我们SINE安全公司发现网站的逻辑漏洞占比也是很高的,前段时间某酒店网站被爆出存在高危的逻辑漏洞,该漏洞导致酒店的几亿客户的信息遭泄露,包括手机号,姓名,地址都被泄露,后续带来的损失很大,最近几年用户信息泄露的事件时有发生,给很多企业,酒店都上了一堂生动的安全课。关于网站逻辑漏洞的总结,今天跟大家详细讲解一下。 网站逻辑漏洞 用户的隐私信息属于数据的保护的最高级别,也是最重要的一部分数据,在逻辑漏洞当中属于敏感信息泄露,有些敏感信息还包括了系统的重要信息,比如服务器的版本linux或者windows的版本,以及网站使用的版本,比如php版本,mysql版本,系统开发的版本,像dedecms,ECShop版本等等的信息都属于敏感信息的一部分。这些数据如果被泄露出去,那么入侵者就会尝试多个方法对系统进行攻击,获取到的敏感信息越多,系统受攻击的程度越大。有一些网站的敏感信息包括客户的注册资料,手机号,身份证号码及扫描件,名字,年月日。这些用户的资料如果被泄漏直接受危害的就是客户本身,比如这次酒店客户资料泄漏事件的发生,带来的危害太大了。 那么逻辑漏洞的产生导致敏感信息泄漏主要的过程是什么呢?首先通过用户资料敏感信息的传输过程,传输到网站系统里去并展示,网站的前端以及APP客户端的代码注释,再经由错误代码的安全测试,都会导致敏感信息的泄漏。

网站老是被攻击 无法打开 多年安全经验与您分享

限于喜欢 提交于 2020-02-26 05:16:14
怎样才能搞好网站安全防护的工作今天这篇文章本应该在csdn、天天快报、天涯论坛等大网站手机用户数据信息被泄漏时就应该写的,可那时候确实都没有写网站安全防护层面文章内容的推动力,许多自媒体都是在讨论网络信息安全层面的事儿,许多文章内容以至于有千篇一律的一小部分,一直到上星期我的好多个公司网站连续不断被黑客入侵,网站安全防护的工作才真真正正引发了我的注重。当中2个用dedecms做的公司网站,公司网站底端被直接挂了很多的隱藏超链接,我也是在检测友链的情况下发觉了有很多的导出来超链接,依据网页源代码才发觉公司网站被侵入了。 这应该是最新款的网站渗透方法,我们有时间还可以检测下自个的公司网站是不是被直接挂了类似恶意程序,碰到某些搜索引擎排名靠前、搜索指数也很高而产生的访客却非常少时一样也须要引发注重。上述是简洁明了详细介绍了所有网站被侵入状况,接下来将为我们详细介绍怎样才能避免公司网站被侵入也就是说怎样才能搞好公司网站的安全工作。 一.常常检测公司网站数据信息 一般来说被暗链的公司网站绝大多数是长时间没有人管理维护的公司网站,特别是在是有些公司网站,含有上文提及的我的2个被暗链的公司网站就是说因为有些缘故长时间都没有管理维护的缘故,过后是网站域名要到期了续订过后顺带检测下了公司网站就发觉被挂暗链了。现阶段暗链销售市场依旧还很火热,因此尽可能按时挤出時间检测下你很久没更新的公司网站。 二