如何做好网站安全工作
楼主你好
你上面的logophp应该是写错了,dedecms有三个登录处理程序文件,前台的有 index_dophp 和 loginphp,不过l oginphp 没有处理数据,仅判断是否登录,登录的话跳转到会员中心首页。后台的有 loginphp 来处理。下面详细说明:
前台 index_dophp 文件。首先不论用户是在网站首页右侧的登录框登录还是会员中心的登录页面登录,两者都会把参数传到 /member/index_dophp 文件中,从登录模板的 action 中我们可以看到登录的时候会把表单数据传递到哪个文件来处理。如下图:
上图是位于/member/templets/loginhtm文件中的部分截图,这是我们前台登录的模板页面,可以看到<form>中将参数传给了index_dophp文件,具体传的参数是每个表单(input)的name值,比如用户名的表单是<input id="txtUsername" class="text login_from" type="text" name="userid"/> ,通过对name的判断知道这个表单提交的是用户名,也就是userid的值,数据库会有对应的userid的字段。比如你登录的用户名是:林羽凡,传过去(到index_dophp)的值就是“userid='林羽凡'”。
type="hidden"的是隐藏域,也就是不在页面上显示,但系统仍能传递参数。比如<input type="hidden" name="fmdo" value="login">就是传递 fmdo的值是 login,这样index_dophp就会知道这里传来的值是用于登录处理的,会有对应的函数(funtion)来处理。
dedecms的$dopost很诡异,通过这个参数的值判断是登入还是登出。
通过以上,我们还有一个登录按钮,类型是submit,也就是提交,这样表单form中的所有信息才会传递到index_dophp文件。
在/member/index_dophp文件240行就可以看到function login()了,也就是登录处理函数,这个时候这个函数就会把传递过来的参数统统接收,这里也是最容易进行sql注入的地方,如果对表单过滤不好,很容易把sql语句写到处理文件中,这里就不细说了。
index_dophp的大概处理过程是这样的,可参考下,不一定每一条都说到。
1、判断是否设置验证码,如果没有,进行用户名验证,如果有设置看对不对,不对的话提示跳转到indexphp文件,如果对,就进行用户名验证。
2、if(CheckUserID($userid,'',false)!='ok')就是通过CheckUserID()来检查用户是否合法,主要是指是不是系统禁用名,是不是长度不够等等,具体语法就不解释了。
3、看你密码是不是空的。
4、接下来就是最重要的,看你的用户名和密码匹配不匹配。$rs = $cfg_ml->CheckUser($userid,$pwd); dedecms这里的验证有点繁琐,还加入了UC机制,就不详细说了。
总结下:说得有点啰嗦,但希望楼主能明白大概的流程,后台的登录传参原理也一样,也是通过<input>把值传到 loginphp 文件,再有对应的函数处理。我们通过传参都会用post方法,也就是你在代码中看到的 method='POST',还有一种是 Get 方式,两种有区别,主要是 post 可传的字节比 get多。
希望可以帮到你。 林羽凡
两个办法
1新建一个变量;进入系统——系统基本参数——
添加新变量右上角如下图:
点击保存变量,后台参数中就会多出一个网站底部信息变量的输入框,输入底部信息,通过:{dede:globaldede_powerby/}就可以在模板中调用了。有了我们自己的版权信息变量,我们就可以删除之前系统自带的版权信息变量。
我们使用sql命令工具在系统设置下面有个sql命令工具在输入框输入以下SQL语句,即可删除系统的版权信息变量。
SQL语句:
1DELETE FROM dede_sysconfig WHERE varname = "cfg_powerby"
2修改源码除了添加另一个变量之外,还可以看看官方的最新补丁使用到什么,通过查看67日官方更新补丁,织梦DedeCMS官方在6月7号的安全补丁主要更新文件是include/dedesqlclassphp,修复变量覆盖漏洞。但是下面的这段代码明显是不正常的,为什么要用这种编码呢?删除该文件的下面这段代码就可以解决这个问题了。代码如下:
12$arrs1 = array(0x63,0x66,0x67,0x5f,0x70,0x6f,0x77,0x65,0x72,0x62,0x79);$arrs2 = array(0x20,0x3c,0x61,0x20,0x68,0x72,0x65,0x66,0x3d,0x68,0x74,0x74,0x70,0x3a,0x2f,0x2f, 0x77,0x77,0x77,0x2e,0x64,0x65,0x64,0x65,0x63,0x6d,0x73,0x2e,0x63,0x6f,0x6d,0x20,0x74,0x61,0x72, 0x67,0x65,0x74,0x3d,0x27,0x5f,0x62,0x6c,0x61,0x6e,0x6b,0x27,0x3e,0x50,0x6f,0x77,0x65,0x72,0x20, 0x62,0x79,0x20,0x44,0x65,0x64,0x65,0x43,0x6d,0x73,0x3c,0x2f,0x61,0x3e);
以上2个方法都可以有效去除底部的版权信息,但是不建议用第二种,会造成注入漏洞的隐患,最好使用第一种!
一经常检查网站数据
一般被挂马的网站大部分是长期无人管理维护的网站,尤其是一些企业网站,包括前文提到的我的2个被挂马的网站就是由于一些原因长期没有管理维护的原因,后来是域名要到期了续费之后顺便检查下了网站就发现被挂黑链了。目前黑链市场依然还很火爆,所以尽量定期抽出时间检查下你不常更新的网站。
二dedecms系统漏洞
由于dedecms的流行,用dedecms仿站成了被黑客攻击的目标之一,从dedecms51到现在的57,依然有部分漏洞,用dedecms做的网站要注意以下几点,
1修改默认后台(dede)路径
2删除install安装目录
3如果不需要使用会员可以直接删除member目录
大部分黑客入侵dedecms网站就是利用会员投稿功能,上传木马文件。
三禁止重要文件和目录被执行、写入
dedecms系统网站可以做如下设置
1以下目录:data、templets、uploads、a设置可读写不可执行权限。
2以下目录:include、member、plus、dede设置为可读可执行不可写入权限。
目前很多使用discuz和phpwind制作的网站也被入侵就是由于重要目录和文件权限没有设置好。
四网站被入侵以后如何处理
1用备份文件覆盖
2没有备份的话,找出最近被修改的文件,查看这些文件是否包含恶意代码。
3找出网站程序多出的文件,重点注意网站根目录是否有未知文件。
五ftp和服务器安全设置
建议使用linux服务器,ftp和服务器用户名和密码要设置复杂点,尽量用字母+数字+特殊符号,使用独立服务器或者vps的要详细了解服务器安全配置方面的教程,确保服务器安全。
参考下面方法
首先,打开后台——模板——默认模板管理——indexhtm
看到有一句,
rel="stylesheet" media="screen" type="text/css" />说明,模板是根据这个 CSS 来布局网
页的,于是就打开网站目录下面的templets\style\dedecmscss然后来分析一下CSS的构成。
根据主页的调用,来研究 CSS 这样容易理解。打开主页模板,找到:
那么 w960 center clear mt1 都定义了什么呢?打开 DEDECMSCSS 找打相关的定义。
center{
1 margin:0px auto; 定义了CSS 模块的边缘位置都是 0,也就是这个center 的层
距离上右下左都是 0px;
2 }
3 w960{
4 width:960px; 定义了整体的宽度为 960px;
5
6 }
7 pright infos_userinfo {
8 margin-bottom: 0px; 定义了首页右部下的互动中心的下面边缘为 0px;
9 }
10 mt1{
11 margin-top:8px; 定义了mt1 的顶部边缘为8px;
12 }
13 pright mt1{
14 margin-top:0px; 定义了pright 下面的mt1 顶部边缘为0px;
15 }
16 mt2{
17 margin-top:16px; 顶部边缘为16px;
18 }
19 clear{
20 overflow:hidden; 如果clear 层里面的内容超出了 层的范围 就隐藏起来。
21 }
这个pleft 的定义没有在dedecmscss 中,但是会发现一句
话
@import url("layoutcss");
@import url("pagecss");
这说明,在dedecmscss 中引用了 pagecss 和layoutcss 这两个样式表,于是就在
pagecss 中找到了pleft 的定义
pleft{
width:712px;定义了宽度
float:left;该层向左浮动
overflow:hidden;超出范围则隐藏
}
在该层下面调用的是新闻头条的内容,看看它的 css
index bignews{
width:424px;
height:400px;
float:right; 向右浮动
border:1px solid #DFF2F5;表示边框线用 #dff2f5 的实体颜色填充
background:url(/images/headbg-topgif) repeat-x;背景为 headbg-topgif 并且横
向平铺
overflow:hidden;超出则隐藏。
}
所以,看到头条的这部分是在 flash 幻灯片右边显示,并且加上了浅蓝色的边框线。
再来看看 onenews 是如何定义的。
index bignews onenews{
margin:0 3px 0 3px; 左右外边距分别空3 个像素
padding:7px 6px;上左内边距分别空7,6 个像素
border-bottom:1px dashed #EBEBEB;下边框加一个 #ebebeb 的虚线
}
所以看见头条的文章左右都有一定的距离,并且下面还有一个虚线显示
这个下面调用的是以往的头条,默认的有 4 篇文章,调用了d1 d1arc 2 个css
index bignews divd1{
padding:6px 10px;
clear:both;这句话是清除浮动,如果不加它,大家可以试试看,是不是 d1 这个层就跑到 头条的
右边了。
width:406px;
overflow:hidden;
}
index bignews divd1arc{
margin-right:12px;
width:190px;
float:left;因为此时要调用4 篇文章,改文章是 22 排列的,如果不加这个属性,新闻就应该垂
直排列了(因为刚才用 clear:both 清除浮动啦),大家试试看是不是这样的。
height:24px;
line-height:24px;行间距,即字体最底端与字体内部顶端之间的距离
overflow:hidden;
}
最新文章
下面看看 newarticle 这个css 吧,还是拿快学网的首页举例子,上面的这句是用来显示 “最近
更新”那几个绿颜色字的,看看它是怎么定义的。
index bignews divnewarticle{
height:24px; 高度
background:url(/images/new-articlegif) 8px 3px no-repeat;背景在x 轴8px 和y 轴
3px 出出现
font-size:0px;
color:#fff;
} 所以,能看到那个最近更新并且还有一个横条,其实它是个,大家右键另存为
看看就知道了
这里面调用了 c2 和ico1 两个 css
index bignews ulc2{
width:416px;
padding:0px 4px 0px; 内边距为 上0 右4 下0
clear:both;清除浮动 和上面的意思一样
overflow:hidden;
}
ico1 这个css 在layoutcss 中了。
ico1 li{
padding-left:16px; 指的是 新闻列表左内边距为 16px
background:url(/images/ico-1gif) 7px 11px no-repeat; 背景在7px,11px 处出现,所以看到最新文章的列表左边都有一个小黑点,这个小黑点就是 ico-1gif
}
到此,中部的头条新闻和最近更新已经分析完了。
看看flash 的 css 定义
index flashnews{
width:280px;
height:192px;
overflow:hidden;
float:left;这句决定了,flash 的新闻列表在 头条的左边显示。如果把 bignews 和flashnews
的float 属性互换一下应该是上面结果呢?大家试试看。
}
这边是特别推荐调用的样式,还是来看看 css
index latestnews{
width:280px;
height:200px;
margin-top:8px;
float:left;
}
index latestnews dl dd{
padding:2px 5px;
}
index latestnews ul a{
color:#555;
} 这里面就不用解释了吧,可以和上面的对照一下就能明白上面意思了。关键 dl dt dd 要弄明白
是什么意思。
dl 内容块
dt 内容块的标题
dd 内容
可以这么写:
标题
内容1
内容2
在layoutcss 中找到 tbox 的相关定义,其他的都不用罗嗦了,只有一句大家注意看一
下
tbox dt strong{
height:26px;
line-height:26px; !important;line-height:25px; 这一句是为了兼容 IE 和FF,比如
font-size: 12px !important;
font-size: 13px;
在 IE里面,由于 IE不理解 !important,则字体大小按照最后设定的 13px 展示
而FF 里面, !important 为提高优先级别,则字体大小按照 !important标记的12px 展示
某些css 某些代码在这两类浏览器里的显示是有差别的(注意这也是使用!important 的主要原因
所在),比如height: 21px;,在 IE6 和(IE7,FF)里显示就有差别,后者(IE7,FF)会比前
者(IE6)少一个像素。
padding-left:22px;
padding-right:4px;
display:block;//变成块级 ,因为strong 是内联元素,必须强制转换,不然的话是没有办法
定义padding 的。大家可以百度一下 内联元素看看。
float:left;
color:#397CBE;
background:url(/images/fbicogif) 5px 6px no-repeat;
letter-spacing:1px;
}
dede是一种cms中文名称:织梦CMS这是dede的安装使用过程中的一些教程
Dedecms相关实用性教程贴导航(8月16日更新)
一:安装
全新安装DEDECMSV5教程(图解)
二:使用
DEDECMS后台功能说明书
DEDECMS数据字典
zhanzhangcom/viewt6&highlight=dedecms
四:模板修改相关
Dedecms标记入门(新手必读的模板教程)
zhanzhangcom/viewt7&highlight=dedecms
Dedecms首页头条,首页滚动效果如何做出来
zhanzhangcom/viewt9&highlight=dedecms
修改Dedecms首页LOGO的宽度动画视频教程
zhanzhangcom/viewt9&highlight=dedecms
DedeCMS实现新窗口中打开链接
zhanzhangcom/viewt2&highlight=dedecms
dedecms首页的注册会员|会员登陆的怎么在后台隐藏?
zhanzhangcom/viewt1&highlight=dedecms
五:采集相关
dedecms采集过滤
zhanzhangcom/viewt6&highlight=dedecms
参数不对是因为你这个模型缺少参数, 仔细看一下 哪些隐藏的表单 type="hidden" 如果你缺少这里里面的动态参数就无法提交过去。 因为可以参考default里面的模板代码。 还有自定义模型的代码不需要自己写 有固定的调用方法的。 如果你觉得自己写比较好的话可以考虑default生成的原始代码看一下。这样你可以相互参考 就知道缺少什么参数了。
dede数据库字段说明:dede_addonarticle 附加文章表
aid int(11) 文章编号
typeid int(11) 分类栏目编号
body mediumtext 文章内容
dede_addonflash 附加Flash表
aid int(11) FLASH编号
typeid int(11) 分类栏目编号
filesize varchar(10) 文件大小
playtime varchar(10) 播放时长
flashtype varchar(10) 作品类型
flashrank smallint(6) 作品等级
width smallint(6) 影片宽度
height smallint(6) 影片高度
flashurl varchar(80) FLASH地址
dede_addonimages 附加图集表
aid int(11) 图集编号
typeid int(11) 分类栏目编号
pagestyle smallint(6) 表现方式(1单页显示 2分多页显示 3多行多列展示)
maxwidth smallint(6) 大图限制宽度
imgurls text 集内容(标签存放)
row smallint(6) 多列式参数(行)
col smallint(6) 多列式参数(列)
isrm smallint(6) 是否下载远程
ddmaxwidth smallint(6) 小宽度限制
dede_addonsoft 附加软件表
aid int(11) 软件编号
typeid int(11) 分类栏目编号
filetype varchar(10) 文件类型
language varchar(10) 界面语言
softtype varchar(10) 软件类型
accredit varchar(10) 授权方式
os varchar(30) 运行环境
softrank int(11) 软件等级
officialUrl varchar(30) 官方网址
officialDemo varchar(50) 程序演示地址
softsize varchar(10) 软件大小
softlinks text 软件下载链接列表
introduce text 软件介绍
dede_addonspec 附加专题表
aid int(11) 专题编号
typeid int(11) 分类栏目编号
note text 专题内容(仅存放标签代码)
dede_admin管理员信息表
ID int(10) 自动编号
usertype int(10) 用户类型
userid varchar(30) 用户登录ID
pwd varchar(50) 用户密码
uname varchar(20) 用户笔名
tname varchar(30) 真实姓名
email varchar(30) 电子邮箱
typeid int(11) 负责频道(0表示全部)
logintime datetime 登录时间
loginip varchar(20) 登录IP
dede_admintype 系统用户组管理表
rank smallint(6) 组级别编号
typename varchar(30) 组名称
system smallint(6) 是否为系统默认组
purviews text 权限列表
dede_arcatt文档自定义属性表
att smallint(6) 编号
attname varchar(30) 属性名称
dede_archives 文章表
ID int(11) 自动编号
typeid int(11) 所属主栏目编号
typeid2 int(11) 所属副栏目编号
sortrank int(11) 文章排序(置顶方法)
iscommend smallint(6) 是否推荐
ismake smallint(6) 是否生成静态
channel int(11) 文章所属模型
arcrank smallint(6) 阅读权限
click int(11) 点击次数
money smallint(6) 消费点数
title varchar(80) 标题
shorttitle varchar(36) 简略标题
color varchar(10) 标题颜色
writer varchar(30) 作者
source varchar(50) 来源
litpic varchar(100) 缩略图
pubdate int(11) 录入时间
senddate int(11) 发布时间
arcatt smallint(6) 自定属性(att)
adminID int(11) 发布管理员ID
memberID int(11) 发布会员ID
description varchar(250) 摘要
keywords varchar(60) 关键词
templet varchar(60) 文档模板
lastpost int(11) 最近评论时间
postnum int(11) 评论数目
redirecturl varchar(150) 跳转网址
mtype int(11) 用户自定义分类
userip varchar(20) 用户IP
locklikeid smallint(6) 是否锁定相关文章
likeid varchar(240) 相关文章ID
dede_arcrank 阅读权限表
ID int(10) 自动编号
rank smallint(10) 权限等级
membername varchar(20) 等级名称
adminrank smallint(10) 管理等级
money int(11) 消费点数
dede_arctype 栏目管理表
ID int(10) 栏目编号(自动编号)
reID int(10) 父栏目编号
topID int(10)
sortrank smallint(6) 排序编号
typename varchar(30) 栏目名称
typedir varchar(100) 栏目目录
isdefault smallint(6) 栏目列表选项(1链接到默认页 0链接到列表第一页 -1使用动态页)
defaultname varchar(20) 默认页的名称
issend smallint(6) 是否支持投稿
channeltype smallint(6) 频道类型
maxpage int(11) 保留
ispart smallint(6) 栏目属性
corank smallint(6) 浏览权限
tempindex varchar(60) 封面模板
templist varchar(60) 列表模板
temparticle varchar(60) 文章模板
tempone varchar(60) 单独页面模板
namerule varchar(50) 文章命名规则
namerule2 varchar(50) 列表命名规则
modname varchar(30) 模板名称
description varchar(200) 栏目介绍
keywords varchar(100) 关键词
moresite smallint(6) 多站点支持
siterefer smallint(6) 多站点站点根目录属性
sitepath varchar(60) 多站点站点根目录
siteurl varchar(60) 多站点绑定域名
ishidden smallint(6) 是否隐藏栏目
dede_sgpage 单页
上面是一些常用字段,可以在dede后台-》系统-》SQL命令行工具执行sql语句来批量修改!
在文章的模板里整加调用点击数的js才能触发递增
在调用点击数的地方加入js
<script src="{dede:field name='phpurl'/}/countphpview=yes&aid={dede:field name='id'/}&mid={dede:field name='mid'/}" type='text/javascript' language="javascript"></script>
如果不想显示点击数就放到一个隐藏层里就行,代码 <div style="display:none;"></div>
没有代码点击数是不会递增的。
0条评论