如何防止黑客利用新的DeDeCMS漏洞入侵

◆DedeCms模板安装/制作概述：

　　DedeCms系统的模板是非固定的，用户可以在新建栏目时可以自行选择栏目模板，官方仅提供最基本的默认模板，即是内置系统模型的各个模板，由于DedeCms支持自定义频道模型，用户自定义新频道模型后，还需要按该模型的字段设计一套新的模板，此外，DedeCms也支持使用风格的形式使用模板，默认风格是 default，它表示系统默认使用 cmspath/templets/default 这个文件夹的模板，如果你下载了一套新的模板，你可以不必要删除 default 原有的文件，把下载的模板文件夹命名你想要的风格名称，如 style2 等，然后在后台修改了默认的模板风格名称为 style2 ，那系统将使用 templets/style2 这文件当作默认模板，但是若你手工指定了栏目模板的位置，则后台参数风格的定义无效。

一、概念，设计和使用模板，必须要理解下面几个概念

1、板块（封面）模板：

　　指网站主页或比较重要的栏目封面频道使用的模板，一般用“index_识别IDhtm”命名，此外，用户单独定义的单个页面或自定义标记，也可选是否支持板块模板标记，如果支持，系统会用板块模板标记引擎去解析后才输出内容或生成特定的文件。

2、列表模板：

　　指网站某个栏目的所有文章列表的模板，一般用 “list_识别IDhtm” 命名。

3、档案模板：

　　表示文档查看页的模板，如文章模板，一般用 “article_识别IDhtm” 命名。

4、其它模板：

　　一般系统常规包含的模板有：主页模板、搜索模板、ＲＳＳ、ＪＳ编译功能模板等，此外用户也可以自定义一个模板创建为任意文件。

二、 命名，DedeCms模板默认命名规则如下

1、模板保存位置：

　　模板目录：cmspath/templets/样式名称（英文，默认为default，其中system为系统底层模板，plus为插件使用的模板）/具体功能模板文件｝

2、 模板文件命名规范：

（１）index_识别IDhtm：　表示板块（栏目封面）模板；

（２）list_识别IDhtm：　表示栏目列表模板；

（３）article_识别IDhtm：　表示内容查看页（文档模板，包括专题查看页）；

（４）searchhtm： 搜索结果列表模板；

（５）indexhtm： 主页模板；

注解：[识别ID]可以在“频道模型管理”的地方获得，当然，你也可以在“频道模型管理”的地方确定某个频道的模板命名。

例：list_imagehtm 表示是就是内容类型为集的栏目默认列表模板。

　　article_articlehtm 表示的是文章查看页模板。

三、其它模板说明

1、默认底层模板

位置： cmspath/templets/system

功能：在没有指定标记的默认底层模板的时候，系统将自动调用这个文件夹的相应文件作为底层模板。

2、插件目录模板

位置： cmspath/templets/plus

功能：评论、友情链接、RSS地图等模板。

3、会员后台模板

位置： cmspath/member/templets

功能：会员后台的模板。

四、二次开发

　　DedeCms主要的模板解析类是 include/inc_arcpart_viewphp、include/inc_arclist_viewphp、include/inc_archives_viewphp，这些类是与pub_dedetagphp一起工作的，如果你想为文档模板、列表模板、板块模板增加一些功能，可以直接修改这几个类的ParseTemplet()或ParseTempletsFirst()这类的方法，把标记名称，属性对应试相应该的功能函数即时。

希望能帮到你

大体试用了一下三个系统，得出了一个比较粗浅的结论：

1、phpcms：

phpcms自2007版本开源以后才开始引起广泛关注，但这次也是头一次研究。用了几天，有了一点初步的印象。（以下以2007版为例，2008版尚未正式推出）

粗看起来，phpcms 2007是三者中最为完善的，各项功能考虑的很细致，导致进了新手进了后台先要晕半天才行。各项功能，比如UNIX系统的权限、模版修改、广告、商城、信息、单网页。。。。都做的相当的完备了。

发表文章的关键字、作者、来源、自动远程保存等等，都做的不错。但是，phpcms发表文章的摘要，似乎是只能自动截取，不能手工设置，灵活性欠佳。

发表的文章可以通过关键字来索引相关贴，做的不错。

支持通行证方式进行论坛和其它系统的整合，可以进行正向和反向两种方式的整合。但是文档说的不太清楚，研究了半天才成功。但是反向整合pw501登录后自动跳转不回来。

phpcms 2007的后台安排的太琐碎，看的头晕。发一篇文章也要晕半个钟头，而且首页的更新莫不清规律，幻灯片老半天不更新。

phcms尽管功能很强大，但是却缺少一样重要的东西：可视化的模版工具，这也是php168和dedecms共同的缺点。在这方面，他们甚至不如刚刚起步的DiyPage好，DiyPage只是一个刚刚具备了雏形的CMS系统，却拥有一个很方便的后台可视化界面设计工具，即使是菜鸟也可以轻松设计界面（虽然灵活性没那么强大，但是足够你用了）。

phpcms 2007整体以频道为依据进行组织，即使你不想用频道，哪也得用，这个已经由不了你了 。所以如果仅仅是一个比较简单的网站，也用上一个频道，看起来够别扭的，这是phpcms 2007最大的缺点，不过看了phpcms 2008beta2发现，phpcms终于解除了这个垃圾限制。

发现phpcms的广告功能似乎不完善，一个广告位定义了两个广告，不能自动轮换，总是显示第一个。

phpcms虽然实现了模块化，但是不管你用不用，一大堆模块稀里呼噜就装上了，看起来很不爽，也不直观。

phpcms虽然是很早就是商业化运作的软件，然后开发效率却是不高，新版本屡屡跳票，影响了它的产品形象，让开源以来积累的人气和一些拥趸大失所望。然而最近贴上了六间房以后，资金应该是没有压力了，新版本也开始浮出水面，2008beta1已经发布了，可惜问题多多。

phpcms 2008 beta2 在 MySQL4 上还是有使用问题，不过比beta1强一些，beta1直接就安装不了，不知道正式版是否会正式放弃MySQL4。

phpcms 2008beta2看上去不错，新功能令人振奋的，界面清爽。以前一团乱麻的后台界面已经打扫干净了。phpcms 2008的标签采用了中英文混合的方式，对菜鸟来说更加容易上手，比较新颖。另外，beta2好像是实现了类似php168的可视化模版中的标签设置方式，虽然不是可视化的设计模版，总归可以自定义一些元素样式了。不过这个beta2版也还是顶多算是个预览版，BUG极多，功能不全。如果准备用phpcms的话，怕是还要大大的等几天才行。

另外，phpcms官方论坛对免费版的支持很不到位，伤了很多粉丝的心。

2、dedecms

51应该是dedecms正式商业化运作以后推出的第一个版本吧？以前的dedecms个体作坊式的发展，由于作者兼职时间和精力不足，导致发展缓慢，新版本频频跳票，引起广大粉丝的强烈不满，甚至导致柏拉图和dedecms用家之间的语言冲突。然而dedecms在商业化运作以后，新版本的发布周期大大缩短，产品功能不断改进，界面美化了很多，人气和用户数量大大增长了，现在看发展势头不错。

dedecms的根目录是最简单的，只有几个文件，比以上两个都强多了，其实这样不仅看起来清爽，维护起来也方便，值得表扬

dedecms的频道非常费解，看起来只有频道模型，要增加频道就要添加模版文件有点费解，仔细研究发现，这个dedecms其实和php168的方式差不多，任何栏目都可以添加子目录，绑定域名，其实就和频道是一个意思，栏目和频道可以互相转换。

dedecms的通行证只支持反向整合，就是dedecms可以用服务端的用户数据登录。其实所谓整合，一般也就是这样的。论坛用整站用户数据的情况恐怕极为少见，对论坛管理也不利。

但是dedecms的通行证整合，需要修改论坛文件，不明白为啥要这样，是因为论坛的通行证功能还不完善吗？

dedecms的广告管理用起来比较麻烦，要先定义标签，然后手工在模板中插入。好像模版上没预定义好广告位置，实在是太不应该了。。。。相当于手动操作，不符合当今历史潮流啊。而且大家常用的广告自动轮换功能，也没有实现。

试用发现，dedecms有时还有一些小毛病，比如远程附件功能，有时发现无法自动转存到本地。另外，在模块数量上，dedecms也无法和php168和phpcms相比，只有文章、下载、、Flash等基本的功能，不知道dedecms 2007发布以后能否有所改观

dedecms的相关文章、热点文章等功能，用了静态生成的方式直接写入到了HTML文件中，这样在生成HTML后，无法自动更新，需要经常手工重新生成全部HTML才能更新相关文档和热点文档。但是大量的重复生成所有HTML文件效率太低下了，这方面dedecms不如php168最新添加的相关文章功能，是用JS方式实现的，不需要更新HTML就能自动索取最新的相关文章。但是使用JS方式也存在服务器效率的问题。

dedecms的首页、列表页、还有文章页都使用了单独的模板，没有使用header和footer模板，这样的好处是可以产生各种风格的页面（允许首页、列表页、内容页使用不同的风格），但是缺点是修改添加头部和底部广告、导航条的时候，相当费劲，要一个一个模板的修改。而且dedecms的版权声明字段设置太小，只有250字节，写不进去多少内容，顶多能添加个计数器就不错了。

dedecms起步就用了类似XML标签方式，而且官方还提供了Dreamweaver的插件来识别标签，应该说在国内是比较独到的。但是这种方式也需要新手一定的时间才能适应。同时，dedecms一直缺乏比较完善的文档，也进一步加大了菜鸟上手的难度。

dedecms最大的问题就是没有提供类似Diypage的可视化设计方式，因为标签比较难于上手，对新手来说做模板是很头疼的问题。

dedecms 51比40功能有了很多进步，增加DIGG功能，还有类似分类信息之类的功能都实现了。不过也有退步，比如关键词、相关帖功能都严重退步了，发帖也很不方便，而且dedecms在商业版本和免费版本之间做功能和代码区分，也自然会在免费版本上有所缩水。

dedecms商业化发展以后，目前出现的问题是免费版的技术支持做的不太到位，比phpcms强不了多少。

3、php168

php168关注很久了，却一直没怎么用过。当年整合论坛的30版给俺很深的印象，可惜论坛没有坚持下去。最近php168的开发工作很强劲，推出了N多模块，让人看的眼晕。

看过了phpcms的后台，再进php168的后台，感觉舒服多了，简洁多了，但是功能还可以。

php168的频道不是强制的，好像是栏目和频道可以转换，灵活性比phpcms强多了

关键字功能没有实现相关贴功能，不爽（新版本已经增加了，用JS方式实现的动态调用）。

php168一直不是用通行证实现整合论坛，这方面做的不好，灵活性欠佳。需要CMS和论坛安装在同一个数据库才行。

首页的标签设置，php168提供了一个可视化的工具，可以直接在上面设置标签，修改标签属性，这方面做的比phpcms强多了。虽然不能设计主页模板，但是可以方便的修改首页模板中元素的内容和显示方式，对菜鸟来说比较不错。dedecms的标签提供（或者公布）的属性比较少，想定制样式是比较麻烦的，目前可能是需要直接用PHP语句来修改。

但是要实现广告功能，还是要像dedecms一样，先定义标签，然后手工修改模版，有点太麻烦了，汗。另外，好像也没实现广告自动轮换功能（）。

php168实现了模块化，可以一个一个的装，看起来比phpcms清爽多了

php168页面模板也是使用了标签方式，但是模板代码好像是类似phpwind的方式（这不奇怪，php168的作者本来就是从phpwind插件开发开始的），代码和模板的分离程度比较差，这个东西其实是个双刃剑，因为用php代码方式，灵活度是最大的，也不用像dedecms一样，标签难以上手，扩展困难；但是缺点也很大，就是不懂编程的人士难以上手，特别是美工和程序的分离不彻底（php168的官方模版就不如dedecms漂亮，不知道是不是这个原因）。

php168比dedecms多了一个可视化的首页标签定制功能，能设置首页元素的显示内容，显示方式，这是比dedecms略强了一些，有总比没有强啊。

因为php168研究的比较少，其它功能没仔细测试过，就不多讲了。总体来说，如果php168能稍加完善，其实是一个相当不错的整站程序。

开学了，返校了，又在宿舍上网了，但现在的校园网安全吗暑假中，DeDeCMS系统曝出了严重的漏洞，这个系统在很多学校的校园网中存在，黑客利用该漏洞就可以控制校园网，进行挂马、嵌入病毒……不过校园网中不乏电脑高手，下面我们就来看看“红帽”同学对自己学校网站的开学安全检测。

我的网名叫“红帽”，我猜每一个大学校园里，都有像我这样的一号人，我们对电脑充分的了解，面对互联网海洋时，就如同游泳池中的菲尔普斯一样。无论你需要找到什么东西，只要它存在于互联网之中，或者在互联网中生活过一段时间，我都能够帮助你找到源头，或者帮你把你感兴趣的东西弄到手。你猜对了，我就是黑客，活跃在校园里面的黑客。

我自认为算是高手，帮同学从别的黑客手里**回被窃的账号，在网吧让一个讨厌鬼不停的更换电脑，也曾经尝试着入侵NASA的计算机网络。

这段日子正是开学的日子，我准备对我的学校网站进行了一次安全检测。或许你要问，为什么要对自己学校的网站进行安全检测我们学校用了DeDeCMS系统(中文名称是织梦内容管理系统)，这个系统在很多学校中被使用。

博弈主题：攻击DeDeCMS整站系统

技术难度：★★★★

重点知识：如何用新的DeDeCMS漏洞来入侵

DeDeCMS系统被很多学校使用并不能让我产生检测自己学校的网站的念头，真正让我产生这个念头的原因是这个系统最近曝出了严重的漏洞，不知道网管补上该漏洞没有，如果没有补上，大家回校后上校园网就危险了。

DeDeCMS身藏URL编码漏洞

这次DeDeCMS新出的漏洞是一个URL编解码漏洞，导致漏洞出现的原因是DeDeCMS的设计者在joblistphp、guestbook_adminphp等文件中对orderby参数未做过滤。黑客可以利用这些漏洞查询数据库的敏感信息，例如管理员密码、加密key等，一旦这些敏感资料被黑客掌握，要在校园网内挂马就是轻而易举的事情了，真危险。

小知识：编码是将源对象内容按照一种标准转换为一种标准格式内容。解码是和编码对应的，它使用和编码相同的标准将编码内容还原为最初的对象内容。编解码的目的最初是为了加密信息，经过加密的内容不知道编码标准的人很难识别。

实战入侵

既然知道了漏洞的成因，下面就来亲手检测一下。目前有两种方案可以实现DeDeCMS整站系统的入侵，一种是PHP脚本的入侵方案，采用这种方案，需要先在自己的本机调试好PHP解析环境，然后登录入侵的目标网站，在PHP环境中运行漏洞测试代码。不过这种方案实行起来相对复杂，因此我使用第二种进行检测，通过漏洞检测注入程序直接注入。

首先，登录学校的网站。然后打开《DeDeCMS漏洞注入检测程序》，点击“Target

Infomation”标签选项，在“URL”一项后面将寻找到的有DeDeCMS系统漏洞的网址复制粘贴到地址输入框，这里利用DeDeCMS的网站路径地址“/include/htmledit/indexphp”得到网站的物理路径。

在登录系统之后，复制浏览器地址栏中的网站路径，例如[url=http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren]http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren[/url]，然后复制粘贴提交测试，粘贴完成后点击“Check”按钮，测试网站是否符合条件

点击浏览器的文件，保存网页，如果网站可以保存的话，用这个方式就能把网站保存下来了，然后你再慢慢研究，织梦技巧方面可以到织梦管理员之家http://wwwdedeadmincom 看看。

glusterFS与ceph哪个更好些，记些东西

面向不同应用场景，ceph更适合iops要求高的场景，gluster更适合流量大的场景。

wordpress与dedecms哪个更好些

建站方向对比

如果是单单的建立一个博客，那么选择wordpress是首选，这个是博客系统，非常有优势，但是也用dedecms建博客的人也很多；如果是建立小型站，企业站，那么dedecms有优势

插件比较

wordpress的插件资源特别丰富，一般的功能都可以有对应的插件来实现，dedecms的插件也不少，但是更多的是付费的，这对于刚开始建站就就付费买插件并不好，当然如果很富有，那也不在乎那几个费用

语言选择对比

如果建站的浏览群是在国外，那么最好是wordpress，wordpress是世界性质的建站系统，支持的语言特别多，原版的是英文的，汉化也很方便；dedecms免费的目前只有中文，英文的是付费的

收录方面对比

在国内，dedecms的收录比wordpress要好点，而且收录的速度也比较快，因为dedecms的构架是根据SEO特性设置的，这点dedecms确实比wordpress要强不少，但是如果是在国外的话，两者的收录差不多，但是也看情况，dedecms倾向百度搜索引擎，而wordpress倾向google和别的搜索引擎

安全稳定性对比

dedecms的发展时间只有短短的几年，而wordpress的历史要长很多，wordpress各方面的安全技术更高，更稳定；dedecms最近几年的安全性也在提高，不过还是远不及wordpress，一个网站的安全是非常重要的，一个站如果今天被植入广告，明天被注入木马，那是非常闹心的事

入手管理对比

wordpress的入手很容易，但是如果能懂php那就更好用，dedecms的入手稍微要麻烦点，但是也不难，也有的人认为dedecms更好入手和管理，根据个人的技能决定哪个好用好管理

我在使用wordpress，但我喜欢dedecms多些。wordpress操作简单，如果做博客站的话，可以选择。如果是做cms网站或者企业站，建议选择dedecms。插件装多了，对网站的加载速度有影响；收录方面我个人觉得dedecms好些。

CISA与ACCA哪个更好些

首先同意一楼的部分回答。考试国籍不同，方式不同，时间不同。

但是还是有些说的不对，这两个考试本身方向完全不同，不能说这个好或者那个好。

CISA是计算机审计方面的考试，说实话方向还是比较单一的，出来之后大部分还是在企业做计算机内审的工作。

ACCA是财会类的考试，是会计财务从业方面的资格认证，出来后可以在会计师事务所，咨询公司，投行，银行等金融财经类的公司工作，当然最主要的方向还是企业内部，做财务分析或者企业内审都是可以的。

两相比较之下呢，ACCA耗时较长，花费较大（如果14门课全部一次性通过，基本上花费在2w左右），但是前景比较好，可选范围大。CISA时间短，考试形式简单，相比ACCA花费少，但是相对的工作范围比较狭窄，不过目前市场正在扩大。

至于具体怎么选，还是要看你自己的目标了。

快车和迅雷哪个下载东西更好些？

迅雷更好，个人观点

ibm与东芝的本本哪个更好些

去东芝的官网看看它的历史，你就会知道，笔记本是怎么来到这个世界上的了！toshiba 东芝的笔记本上的硬件几乎都是东芝自己生产的，除了cpu，内存，质量是没话说的，不要听别人说什么什么坏了，任何机器都会出现故障的！我就是用的东芝的r100。性能很好，两斤重！超薄！世界上最薄最轻电脑！

WinXP与Win7哪个更好些？

这个是看配置跟你是准备用系统是聊天还是游戏的问题·

暂时本人觉得还是先用XP·W7用盗版的再怎么说也还没有山寨的很好·等以后弄好了再用·

精彩尽在大地论坛

本文来自大地技术论坛

5320与N72哪个更好些

呵呵，N72看起来大气，很男人气有派头现在行货1518很热销跟5320比，我感觉质量是很棒的

但是话说回来，我知道您一定很难抉择其实我还是比较偏爱5320的，首先5320的系统是第三版，N72 Symbian OS v81a操作系统S60平台第2版本5320的系统资源更多，而且有类似N78 79的主题界面很绚烂

速度5320比N72快很多 5320的行货1400 还是很实惠的

皇冠与XTS，哪个更好些

一般代步用车选择皇冠省油也省心；追求技术与性能的选择XTS，毕竟是豪华品牌。

DedeCms 肯定有很多人喜欢，也肯定有很多人在使用。最近我使用DedeCms53和DedeCms55遇到了一个不可思议的问题：在添加栏目时IE内核的浏览器无法保存栏目内容。到网上搜索了半天没见有解决方法，查看DedeCms官方搜索到的结果是“

“栏目内容”无法保存和修改的问题解决方法，

打开dede\templets目录的下面两个文件

catalog_addhtm，519行

catalog_edithtm，426行

将上面两个文件中指定位置的

GetEditor("content",$myrow['content'],"450","Default","print","false");

替换成

GetEditor("content",$myrow['content'],"450","Basic","print","false");即可！”。试了一下问题还是没解决不知道其它朋友是否有解决了反正我是怎么试都不行。看来只有靠自己了。打开DedeCms后台目录下的文件catalog_editphp和article_editphp对比一下，使用相同的函数调出了编辑器说明DedeCms的程序应该没问题而且在Firefox浏览器中还可以正确的保存内容更进一步证明了DedeCms的程序是没问题的。在IE下不行而在Firefox下却可以想到这里我觉得应该是编辑器与DOM之间产生了问题，在认真对比刚才的两个页面唯一的区别在于“栏目管理”的地方默认编辑器区域默认是被隐藏了，使用IE看看右下角的错误提示：“由于出现错误 800a025e 而导致此项操作无法完成”在网上搜索一下“由于出现错误 800a025e 而导致此项操作无法完成” 才发现原来是FCKeditor的一个BUG 。当FCKeditor的父目录默认被隐藏就会出现此类错误。找到错误原因就好解决问题了，在添加和编辑栏目时给编辑器添加默认值就可以解决这个问题了。打开：后台目录/templets/catalog_edithtm和catalog_addhtm两个文件

catalog_addhtm 文件第518行GetEditor("content", "", "450", "Default", "print", "false");

替换为

GetEditor("content", " ", "450", "Default", "print", "false"); 给编辑器默认赋一个空格

catalog_edithtm 文件第426行：GetEditor("content", $myrow['content'], "450", "Default", "print", "false");

替换为

$cont = empty($myrow['content']) ' ' : $myrow['content'];

GetEditor("content", $cont, "450", "Default", "print", "false");

$cont 是自己定义的

这样就解决了栏目内容无法保存的问题。 文章转自： http://hibaiducom/zhiweicn/blog/item/629943faeadb301c6c22eb44html

一、power by dedecms什么意思

在我们上网的时候，会见到页面页底很多带power by dedecms的网站，power by dedecms表示这个网站基于织梦DedeCMS系统搭建，DedeCMS是开源免费的，但考虑版权问题建议留下此说明信息。

二、power by dedecms怎么去掉

接下来我们说一下power by dedecms怎么去掉？power by dedecms去掉方法很简单，进入织梦后台，点击系统，==》系统基本设置，==》网站版权信息，修改你想要的内容即可。（以上这一种方法仅限于2013-07-15以前的版本，其他版本请看另一方法）

三、织梦2013年6月7日补丁或者最近下载的织梦dedecms程序，去掉power by dedecms的方法

织梦2013年6月7日补丁或者最近下载的织梦dedecms程序，用上面的方法并不起作用，我们参考下面的方法去解决：

对比官方更新的内容，织梦DedeCMS官方2013年6月7号完成的安全补丁主要更新的文件是include/dedesqlclassphp，修复变量覆盖漏洞。我们对比之前版本的include/dedesqlclassphp文件，会发现最新的include/dedesqlclassphp文件会多出第588到第592行的那几段代码(也可以复制以下一小段代码进行搜索)，代码大致如下：

$arrs1 = array(0x63,0x66,0x67,0x5f,0x70,0x6f,0x77,0x65,0x72,0x62,0x79);

$arrs2 = array(0x20,0x3c,0x61,0x20,0x68,0x72,0x65,0x66,0x3d,0x68,0x74,0x74,0x70,0x3a,0x2f,0x2f,

0x77,0x77,0x77,0x2e,0x64,0x65,0x64,0x65,0x63,0x6d,0x73,0x2e,0x63,0x6f,0x6d,0x20,0x74,0x61,0x72,

0x67,0x65,0x74,0x3d,0x27,0x5f,0x62,0x6c,0x61,0x6e,0x6b,0x27,0x3e,0x50,0x6f,0x77,0x65,0x72,0x20,

0x62,0x79,0x20,0x44,0x65,0x64,0x65,0x43,0x6d,0x73,0x3c,0x2f,0x61,0x3e);

然后我们把这段代码删除掉或者注释掉，保存上传覆盖即可。