新手用织梦（dedecms）建站如何做好安全措施

楼主你好

你上面的logophp应该是写错了，dedecms有三个登录处理程序文件，前台的有 index_dophp 和 loginphp，不过l oginphp 没有处理数据，仅判断是否登录，登录的话跳转到会员中心首页。后台的有 loginphp 来处理。下面详细说明：

前台 index_dophp 文件。首先不论用户是在网站首页右侧的登录框登录还是会员中心的登录页面登录，两者都会把参数传到  /member/index_dophp 文件中，从登录模板的 action 中我们可以看到登录的时候会把表单数据传递到哪个文件来处理。如下图：

上图是位于/member/templets/loginhtm文件中的部分截图，这是我们前台登录的模板页面，可以看到<form>中将参数传给了index_dophp文件，具体传的参数是每个表单（input）的name值，比如用户名的表单是<input id="txtUsername" class="text login_from" type="text" name="userid"/> ，通过对name的判断知道这个表单提交的是用户名，也就是userid的值，数据库会有对应的userid的字段。比如你登录的用户名是：林羽凡，传过去（到index_dophp）的值就是“userid='林羽凡'”。

type="hidden"的是隐藏域，也就是不在页面上显示，但系统仍能传递参数。比如<input type="hidden" name="fmdo" value="login">就是传递 fmdo的值是 login，这样index_dophp就会知道这里传来的值是用于登录处理的，会有对应的函数（funtion）来处理。

dedecms的$dopost很诡异，通过这个参数的值判断是登入还是登出。

通过以上，我们还有一个登录按钮，类型是submit，也就是提交，这样表单form中的所有信息才会传递到index_dophp文件。

在/member/index_dophp文件240行就可以看到function login()了，也就是登录处理函数，这个时候这个函数就会把传递过来的参数统统接收，这里也是最容易进行sql注入的地方，如果对表单过滤不好，很容易把sql语句写到处理文件中，这里就不细说了。

index_dophp的大概处理过程是这样的，可参考下，不一定每一条都说到。

1、判断是否设置验证码，如果没有，进行用户名验证，如果有设置看对不对，不对的话提示跳转到indexphp文件，如果对，就进行用户名验证。

2、if(CheckUserID($userid,'',false)!='ok')就是通过CheckUserID()来检查用户是否合法，主要是指是不是系统禁用名，是不是长度不够等等，具体语法就不解释了。

3、看你密码是不是空的。

4、接下来就是最重要的，看你的用户名和密码匹配不匹配。$rs = $cfg_ml->CheckUser($userid,$pwd);  dedecms这里的验证有点繁琐，还加入了UC机制，就不详细说了。

总结下：说得有点啰嗦，但希望楼主能明白大概的流程，后台的登录传参原理也一样，也是通过<input>把值传到 loginphp 文件，再有对应的函数处理。我们通过传参都会用post方法，也就是你在代码中看到的 method='POST'，还有一种是 Get 方式，两种有区别，主要是 post 可传的字节比 get多。

希望可以帮到你。  林羽凡

自从用了dede之后感觉一切都挺好，就是有个很奇怪的事情，不知道同样用dede的童鞋有没有遇到的，登陆的时候老是出现“验证码不正确”的提示，输入第一次说不正确倒罢了，连续 输入四五次都这样的提示我就纳闷了，换了几个主流浏览器后发现，只有在IE浏览器可以正常登录后台，chrome和Firefox都无法登陆，当然像清楚网页缓存、删除COOKIES这种常规操作都是一次一次的去做了，都做了但还是登陆失败验证码不正确。

不知道IE浏览器有毛病还是什么的，用IE浏览器登陆到后台之后老是页面要停顿很久才可以点击页面，如果立即就去点，页面就会卡死，本来想着这样也就凑活，毕竟还可以登录进去后台去管理，就一直这么用着。

但是天不随人愿，今天正在后台进行操作的时候，又提示让登录，但是这次连在IE上都无法登录了，一直显示验证码不正确，气死人！

没办法，网站刚刚建好就无法进入后台无法进行网站更新和一些设置是一件很着急人的事，马上百度搜索下这个问题，既然也有很多人和我的这个情况差不错，用dede的人还挺多，说什么方法的人都有。

在这里大致的概括一下网上所提供的方法：

1、有人说取消验证码，也就是替换 loginphp中的if($validate==” || $validate != $svali)然后再改几个文件的相关模块（这个已经试过了不行，取消了验证码之后就陷入了死循环登录页面，然后这个问题就又在网上无解了……不知道说这个方法的人正真碰到过这个问题没有，还是问题有所不同）。

2、还有一种说法是用ftp进入你的dedecms程序空间，把data/session目录下除indexhtm外的其它session文件都删除，我试了，还是失败！

3、有人说是服务器配置问题，修改phpini 文件，但是当我终于找到了空间提供商，人家说服务器端不单独改东西的，因为出于安全考虑，所有的服务器端修改都禁用了，其实这也不能怪空间提供商，让我们自己想想也不可能因为你这一个小问题而去更改整个服务器的配置。

4、其实在刚开始还可以用IE登陆进去的时候我已经看到了在后台管理的“ 系统— 系统安全—把后台登陆前那个勾去掉“，以为这样就不用验证码了，结果我悲剧了，出现了像第一种说法一样的登录死循环页面然后我就只有把所有文件全删掉，然后重新安装了dede的程序，又重做（还好当初设置的东西还不是太多，损失不大）！

最终经过不断的寻找不断的更改终于找到了解决方法正常登陆了，下面就直接将这个方法公布出来，希望能帮到碰到同样问题的同学们。

方法是：使用FTP登录,修改dede57根目录下/data/sessions/文件夹权限修改为777，然后要应用于以下所有文件和文件夹，问题搞定！

原文链接：http://hibaiducom/%D3%EE%D5%B0%C9%CC%C3%B3%B9%AB%CB%BE/blog/item/c5d1ff392c0db7c3a2cc2bcdhtml

1、data、templets、uploads、a这几个文件设置为可读不可执行权限。a文件保存的是默认的html文件看，可以在后台修改。

2、include、member、plus、dede设置为可读可执行不可写入权限。dede文件夹修改别的名字，这是后台默认登录地址后缀名，用过的织梦的都知道，所以改了吧。

3、如果你的网站没有没有会员登录，专题。可以删掉member、special这两个目录。

4、安装完织梦程序之后，删掉安装的文件install。

5、织梦后台登陆默认登录账号密码都是admin，不要以为把dede文件夹名称改了就以为防患于未然了，一定要做到位。

6、Mysql数据库链接，不使用root用户，单独建立新用户，并给予：SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限。

7、定期进行备份网站目录和数据库，并在后台进行文件校验、病毒扫描、系统错误修复。万一哪天我们的站被黑了，清空了，还能再上传到服务器，完好无损。

8、plus目录删除 ，可以安装一些安全插件。如果是做企业网站用不到会员登录，专题。可以删掉member、special这两个目录。

建议最好还是经常性备份网站,这样才是最安全的。

我也是半路出家的，如果想用DEDECMS做网站，你可以参考以下几个步骤：

第一，你可以先下载一个服务器软件，在你的电脑里安装，这样的话，暂时就不用买空间和域名了。服务器软件可以到这里下载：http://phpnoworg/ 点那个最新版的最新版本:PHPnow 155_1 ，里面有安装说明，根据安装说明安装好。

第二，好了，如果你现在安装好了服务器，你就有本地空间和本地域名和数据库了，这时候你就要到DEDECMS里下载最新版的程序了。可以到这里下载:http://wwwdedecmscom/products/dedecms/downloads/ 点那个最新版的：DedeCMS V56正式版 根据dedecms的说明在刚才安装好的服务器里安装好这个dedecms程序。

第三，安装好DEDECMS之后，你就要登录程序的后台，在栏目里添加你想要栏目，添加完栏目之后，再在相对应发布你想要的文档内容，最后你就在左边的生成里，点生成主页、栏目、和文档。这样你就可以打开主页，可以看到你发布的内容了。

第四、可以根据自己的需要对、程序作修改。一般都用PS软件，程序修改用一个dreamwaver就行了。dreamwaver就要是用来修改风格文件。

第五、弄熟悉之后，你可以尝试去仿制别人的网站，又或者根据自己需要自己设计。

最后，如果有问题或者想学的话，我这里有一套DEDECMS的教学，从菜鸟到大师的教程。可以发邮件索取。邮箱系:sujian919#qqcom（将#换成@）下面这个就是我用DEDECMS做的网站，仿制别人的。很简单

大体试用了一下三个系统，得出了一个比较粗浅的结论：

1、phpcms：

phpcms自2007版本开源以后才开始引起广泛关注，但这次也是头一次研究。用了几天，有了一点初步的印象。（以下以2007版为例，2008版尚未正式推出）

粗看起来，phpcms 2007是三者中最为完善的，各项功能考虑的很细致，导致进了新手进了后台先要晕半天才行。各项功能，比如UNIX系统的权限、模版修改、广告、商城、信息、单网页。。。。都做的相当的完备了。

发表文章的关键字、作者、来源、自动远程保存等等，都做的不错。但是，phpcms发表文章的摘要，似乎是只能自动截取，不能手工设置，灵活性欠佳。

发表的文章可以通过关键字来索引相关贴，做的不错。

支持通行证方式进行论坛和其它系统的整合，可以进行正向和反向两种方式的整合。但是文档说的不太清楚，研究了半天才成功。但是反向整合pw501登录后自动跳转不回来。

phpcms 2007的后台安排的太琐碎，看的头晕。发一篇文章也要晕半个钟头，而且首页的更新莫不清规律，幻灯片老半天不更新。

phcms尽管功能很强大，但是却缺少一样重要的东西：可视化的模版工具，这也是php168和dedecms共同的缺点。在这方面，他们甚至不如刚刚起步的DiyPage好，DiyPage只是一个刚刚具备了雏形的CMS系统，却拥有一个很方便的后台可视化界面设计工具，即使是菜鸟也可以轻松设计界面（虽然灵活性没那么强大，但是足够你用了）。

phpcms 2007整体以频道为依据进行组织，即使你不想用频道，哪也得用，这个已经由不了你了 。所以如果仅仅是一个比较简单的网站，也用上一个频道，看起来够别扭的，这是phpcms 2007最大的缺点，不过看了phpcms 2008beta2发现，phpcms终于解除了这个垃圾限制。

发现phpcms的广告功能似乎不完善，一个广告位定义了两个广告，不能自动轮换，总是显示第一个。

phpcms虽然实现了模块化，但是不管你用不用，一大堆模块稀里呼噜就装上了，看起来很不爽，也不直观。

phpcms虽然是很早就是商业化运作的软件，然后开发效率却是不高，新版本屡屡跳票，影响了它的产品形象，让开源以来积累的人气和一些拥趸大失所望。然而最近贴上了六间房以后，资金应该是没有压力了，新版本也开始浮出水面，2008beta1已经发布了，可惜问题多多。

phpcms 2008 beta2 在 MySQL4 上还是有使用问题，不过比beta1强一些，beta1直接就安装不了，不知道正式版是否会正式放弃MySQL4。

phpcms 2008beta2看上去不错，新功能令人振奋的，界面清爽。以前一团乱麻的后台界面已经打扫干净了。phpcms 2008的标签采用了中英文混合的方式，对菜鸟来说更加容易上手，比较新颖。另外，beta2好像是实现了类似php168的可视化模版中的标签设置方式，虽然不是可视化的设计模版，总归可以自定义一些元素样式了。不过这个beta2版也还是顶多算是个预览版，BUG极多，功能不全。如果准备用phpcms的话，怕是还要大大的等几天才行。

另外，phpcms官方论坛对免费版的支持很不到位，伤了很多粉丝的心。

2、dedecms

51应该是dedecms正式商业化运作以后推出的第一个版本吧？以前的dedecms个体作坊式的发展，由于作者兼职时间和精力不足，导致发展缓慢，新版本频频跳票，引起广大粉丝的强烈不满，甚至导致柏拉图和dedecms用家之间的语言冲突。然而dedecms在商业化运作以后，新版本的发布周期大大缩短，产品功能不断改进，界面美化了很多，人气和用户数量大大增长了，现在看发展势头不错。

dedecms的根目录是最简单的，只有几个文件，比以上两个都强多了，其实这样不仅看起来清爽，维护起来也方便，值得表扬

dedecms的频道非常费解，看起来只有频道模型，要增加频道就要添加模版文件有点费解，仔细研究发现，这个dedecms其实和php168的方式差不多，任何栏目都可以添加子目录，绑定域名，其实就和频道是一个意思，栏目和频道可以互相转换。

dedecms的通行证只支持反向整合，就是dedecms可以用服务端的用户数据登录。其实所谓整合，一般也就是这样的。论坛用整站用户数据的情况恐怕极为少见，对论坛管理也不利。

但是dedecms的通行证整合，需要修改论坛文件，不明白为啥要这样，是因为论坛的通行证功能还不完善吗？

dedecms的广告管理用起来比较麻烦，要先定义标签，然后手工在模板中插入。好像模版上没预定义好广告位置，实在是太不应该了。。。。相当于手动操作，不符合当今历史潮流啊。而且大家常用的广告自动轮换功能，也没有实现。

试用发现，dedecms有时还有一些小毛病，比如远程附件功能，有时发现无法自动转存到本地。另外，在模块数量上，dedecms也无法和php168和phpcms相比，只有文章、下载、、Flash等基本的功能，不知道dedecms 2007发布以后能否有所改观

dedecms的相关文章、热点文章等功能，用了静态生成的方式直接写入到了HTML文件中，这样在生成HTML后，无法自动更新，需要经常手工重新生成全部HTML才能更新相关文档和热点文档。但是大量的重复生成所有HTML文件效率太低下了，这方面dedecms不如php168最新添加的相关文章功能，是用JS方式实现的，不需要更新HTML就能自动索取最新的相关文章。但是使用JS方式也存在服务器效率的问题。

dedecms的首页、列表页、还有文章页都使用了单独的模板，没有使用header和footer模板，这样的好处是可以产生各种风格的页面（允许首页、列表页、内容页使用不同的风格），但是缺点是修改添加头部和底部广告、导航条的时候，相当费劲，要一个一个模板的修改。而且dedecms的版权声明字段设置太小，只有250字节，写不进去多少内容，顶多能添加个计数器就不错了。

dedecms起步就用了类似XML标签方式，而且官方还提供了Dreamweaver的插件来识别标签，应该说在国内是比较独到的。但是这种方式也需要新手一定的时间才能适应。同时，dedecms一直缺乏比较完善的文档，也进一步加大了菜鸟上手的难度。

dedecms最大的问题就是没有提供类似Diypage的可视化设计方式，因为标签比较难于上手，对新手来说做模板是很头疼的问题。

dedecms 51比40功能有了很多进步，增加DIGG功能，还有类似分类信息之类的功能都实现了。不过也有退步，比如关键词、相关帖功能都严重退步了，发帖也很不方便，而且dedecms在商业版本和免费版本之间做功能和代码区分，也自然会在免费版本上有所缩水。

dedecms商业化发展以后，目前出现的问题是免费版的技术支持做的不太到位，比phpcms强不了多少。

3、php168

php168关注很久了，却一直没怎么用过。当年整合论坛的30版给俺很深的印象，可惜论坛没有坚持下去。最近php168的开发工作很强劲，推出了N多模块，让人看的眼晕。

看过了phpcms的后台，再进php168的后台，感觉舒服多了，简洁多了，但是功能还可以。

php168的频道不是强制的，好像是栏目和频道可以转换，灵活性比phpcms强多了

关键字功能没有实现相关贴功能，不爽（新版本已经增加了，用JS方式实现的动态调用）。

php168一直不是用通行证实现整合论坛，这方面做的不好，灵活性欠佳。需要CMS和论坛安装在同一个数据库才行。

首页的标签设置，php168提供了一个可视化的工具，可以直接在上面设置标签，修改标签属性，这方面做的比phpcms强多了。虽然不能设计主页模板，但是可以方便的修改首页模板中元素的内容和显示方式，对菜鸟来说比较不错。dedecms的标签提供（或者公布）的属性比较少，想定制样式是比较麻烦的，目前可能是需要直接用PHP语句来修改。

但是要实现广告功能，还是要像dedecms一样，先定义标签，然后手工修改模版，有点太麻烦了，汗。另外，好像也没实现广告自动轮换功能（）。

php168实现了模块化，可以一个一个的装，看起来比phpcms清爽多了

php168页面模板也是使用了标签方式，但是模板代码好像是类似phpwind的方式（这不奇怪，php168的作者本来就是从phpwind插件开发开始的），代码和模板的分离程度比较差，这个东西其实是个双刃剑，因为用php代码方式，灵活度是最大的，也不用像dedecms一样，标签难以上手，扩展困难；但是缺点也很大，就是不懂编程的人士难以上手，特别是美工和程序的分离不彻底（php168的官方模版就不如dedecms漂亮，不知道是不是这个原因）。

php168比dedecms多了一个可视化的首页标签定制功能，能设置首页元素的显示内容，显示方式，这是比dedecms略强了一些，有总比没有强啊。

因为php168研究的比较少，其它功能没仔细测试过，就不多讲了。总体来说，如果php168能稍加完善，其实是一个相当不错的整站程序。

1、这个是显示时间的代码

你可以随便放到一个位置 一般放到header的一个位置

<script language="javascript">

function showtime()

{

var today,hour,second,minute,year,month,date;

var strDate ;

today=new Date();

var n_day = todaygetDay();

switch (n_day)

{

case 0:{

strDate = "星期日"

}break;

case 1:{

strDate = "星期一"

}break;

case 2:{

strDate ="星期二"

}break;

case 3:{

strDate = "星期三"

}break;

case 4:{

strDate = "星期四"

}break;

case 5:{

strDate = "星期五"

}break;

case 6:{

strDate = "星期六"

}break;

case 7:{

strDate = "星期日"

}break;

}

year = todaygetYear();

month = todaygetMonth()+1;

date = todaygetDate();

hour = todaygetHours();

minute =todaygetMinutes();

second = todaygetSeconds();

if(month<10) month="0"+month;

if(date<10) date="0"+date;

if(hour<10) hour="0"+hour;

if(minute<10) minute="0"+minute;

if(second<10) second="0"+second;

documentgetElementById('time')innerHTML = year + " 年 " + month + " 月 " + date + " 日 " + strDate +" " + hour + ":" + minute + ":" + second; //显示时间

setTimeout("showtime();", 1000); //设定函数自动执行时间为 1000 ms(1 s)

}

</script>

<div id="time"></div>

<script language="javascript"> showtime();</script>

2、DEDE默认是有会员登录框的 你可以去自己更改样式

3、页面可以设置成你想要的分辨率

4、不用再买mysql了 一个就可以用了 不会冲突