dede 57 又被sql注入,怎么解
网站的文件目录下应该有一个admin的文件夹,这个就是后台管理的文件存放的文件夹,看下里面有没有一个index的文件,如果有,可以在IE地址栏中输入这个文件的地址访问就可以了。还有的是把后台登陆的文件放在一级目录下,可以查看下有没有命名为login的文件,如果有,就是这个了。
新手建站建议下载pageadminCMS,后期也好优化和收录。
如果你用robotstxt来禁止收录会有一个问题,虽然这样搜索引擎可能会遵守规则不收录,但黑客可以直接访问你的robotstxt文件来获知后台路径,所以同样解决不了问题。
建议从两个方面出发,首先是尽快更改后台路径,使原来的失效,其次是通过程序或服务器的安全配置,对搜索引擎的爬虫甚至是除内部人员之外的设备都无法访问到后台的路径。
过滤一些常见的数据库操作关键字,
select ,insert,update,delete,and,等或通过系统函数addslashes对内容进行过滤
php配置文件中register_globals=off;设置为关闭状态(作用将注册全局变量关闭);如接收POST表单的值使用$_POST['user'],假设设置为ON的话$user才接收值
sql语句书写的时候尽量不要省略小引号(tab上面那个)和单引号
提高数据库命名技巧,对于一些重要的字段根据程序的特点命名,使之不易被猜中
对于常的方法加以封装,避免直接暴漏SQL语句
开启PHP安全模式safe_mode=on
打开magic_quotes_gpc来防止SQL注入,默认为关闭,开启后自动把用户提交sql查询语句进行转换把"'"转换成"\'"
控制错误信息输出,关闭错误信息提示,将错误信息写到系统日志
使用MYSQLI或PDO预处理
⑴ 以php开发网络留言板的设计目标实现以下功能: 新用户注册功能、用户登录功能、登录用
这个东西确实有点多,我刚开始还以为只是简单的留言板呢,收费很正常!这应该是个课程设计吧
⑵ php实现用户注册和登入,不用做效果求大牛指导
登陆界面 loginphp
<form action="logincheckphp" method="post">
用户名:<input type=text name=user/><br/>
密码:<input type=password name=pass/><br/>
<input type=submit name=sub value="登陆"/>
<a href="registerphp">注册</a>
</form>
登陆处理界面logincheckphp
<php
mysql_connect('localhost','root','');
mysql_select_db('test');
mysql_query("set names 'gbk'");
$nsql="select username,passwd,nick from userinfo where username = '$_POST[user]' and passwd = '$_POST[pass]'";
$result = mysql_query($nsql);
$num = mysql_num_rows($result);
if($num){
$row = mysql_fetch_array($result);
echo "欢迎您,$row[2]";
}else{
echo"<script>alert('用户名或密码不正确');historygo(-1);</script>";
}
>
注册界面registerphp
<form action="regcheckphp" method="post">
用户名:<input type=text name=user/><br/>
密码:<input type=password name=pass/><br/>
昵称:<input type=text name=nick/><br/>
<input type=submit name=sub value="注册"/>
</form>
注册处理界面regcheckphp
<php
mysql_connect('localhost','root','');
mysql_select_db('test');
mysql_query("set names 'gbk'");
$nsql="select username from userinfo where username = '$_POST[user]'";
$result = mysql_query($nsql);
$num = mysql_num_rows($result);
if($num){
echo "<script>alert('用户名已存在注册失败');historygo(-1);</script>";
}else{
$isql = "insert into userinfo values('$_POST[user]','$_POST[pass]','$_POST[nick]')";
mysql_query($isql);
echo"<script>alert('注册成功');historygo(-1);</script>";
}
>
⑶ 怎么用PHP+MYSQL做注册和登陆系统,要详细哦!
login
<body>
<form action="indexphp" method="post">
<input type=text name=username id="username" />
<input type=submit name=Submit id="Submit" value="登陆" />
</form>
</body>
indexphp
<php
if($_POST['username'] == '')
echo '您的登陆名不能为空。<a href="login">请重新填写</a>';
else
echo '您的登陆名是:' $_POST['username'];
>
<
include "conn/connphp";
$UserName=$_POST["UserName"];
$mima1=$_POST["mima1"];
$mima2=$_POST["mima2"];
$xin=$_POST["xin"];
$nian=$_POST["nian"];
$dianhua=$_POST["dianhua"];
$email=$_POST["email"];
$qq=$_POST["qq"];
$sql="INSERT INTO 'my_china''chuche' ('id','UserName' ,'mima1' ,'mima2' ,'xin' ,'nian' ,'dianhua' ,'email' ,'qq' )VALUES (NULL , '$UserName', '$mima1', '$mima2', '$xin', '$nian', '$dianhua', '$email', '$qq')";
mysql_query($sql);
echo "<script> alert('用户注册成功!');</script>";
echo "<script> windowlocation='zcphp';</script>";
>
⑷ php语言如何实现一个完整用户登录系统的制作
php语言如何实现一个完整用户登录系统的制作
说用户的登录,简单的理解:输入密码/验证帐内号/保存登录信息
复杂一容点说:会员注册/审核/登录/验证/保存登录信息 (也就有了会员管理的相关功能)
现在网上好多开源PHP系统,像dedeCMS/DISCUZ/PHPwind等等,都有会员模块,下载了看看源码就明白差不多了。
如果初学PHP,推荐搜集Cookie 和 Session的相关信息,这是会员用到的核心,这两个内容的案例大多也是以会员为例,网上资料也不少,网络一下吧,good luck,学习愉快!
⑸ php做的登录系统 帮忙
<
$mysql_servername = "localhost"; //主机地址
$mysql_username = "root"; //数据库用户名
$mysql_password ="root"; //数据库密码
$mysql_database ="student"; //数据库
mysql_connect($mysql_servername , $mysql_username ,$mysql_password);
mysql_select_db($mysql_database);
$sname=$_POST['username'];
$sin=$_POST['userio'];
$sql = "SELECT FROM info WHERE name = $sname and no=$sin";
$res =@mysql_query($sql);
$rs=@mysql_fetch_array($res);
if($rs==NULL){
die('登录失败,错误的用户名或学号')
}else{
echo "<br>输入的姓名为:";
echo $sname;
echo "<br>输入的学号为:";
echo $sin;
}
>
⑹ PHP 实现注册登录系统
其实楼主要的代码网上有很多。你没有给出具体要实现注册的信息,所以只找了这个代码。楼主可以根据具体情况自己修改代码。
①注册模块:
//hi/oldjunren/blog/item/2709e606841fbfca7a894774
②登陆模块
//hi/oldjunren/blog/item/79c827cf1e398c3eb700c871
③PHP 防范SQL注入漏洞//hi/oldjunren/blog/item/6540b734b207be1691ef3961
希望楼主成功。
⑺ 注册登录系统的设计与实现php
<script language="javascript">
function checkpost()
{
if(loginformuservalue =="")
{
alert("用户名不能为空!");
loginformuserfocus();
return false;
}
if(loginformpwvalue =="")
{
alert("密码不能为空!");
loginformpwfocus();
return false;
}
}<script> 用户登录
</tr>
<tr> <td height=169 bgcolor="#F9F9F9" ><form action="loginphp" method="post" onSubmit="return checkpost();" name=loginform><div><span > <font color="#000000">用户名:</font></span><input name=user type=text size="15" />
</div> <div><span class="class9"> <font color="#000000">密 码:</font></span><input name=pw type=password size="15" />
</div>
<div align=center><input type=submit name=sub value="登录" /> <input type=reset value="重置" /></div>
<div align=center class="syCss"><a href="username1php" target="_blank">注册</a></div>
</form></td> loginphp<php
session_start();
$username =trim( $_POST['user']);
$password =trim( $_POST['pw']);
if((empty($username)) || (empty($password)))
{
echo "<script language=\"JavaScript\">alert('用户名或者密码不能为空!');historyback();</script>";
}
else
{
$myconn = mysql_connect("localhost", "root", "");
mysql_query("SET NAMES 'GBK'");
mysql_select_db("users") or die ("不能连接到数据库!");
//判断用户名和密码是否在正确
$strSql="select from test where username='$username' and password='$password'";
$result=mysql_query($strSql) or die("读取数据库出现错误!");
$num=mysql_num_rows($result);
if($num<0)
{
echo "该用户不存在!";
}
else
{
$row = mysql_fetch_array($result);
if(($row['username'] == $username) && ($row['password'] == $password ) )
{
$name = "欢迎您:";
$_SESSION[username] = $name $username;
$quit = "退出";
$_SESSION[quit] = $quit;
echo "<script language=\"JavaScript\">alert('登录成功!');windowlocation> }
}
}
mysql_close($myconn);
}
><a href= //xiaohouse>小房子</a>
使用dedecms的朋友有很多有时会发现自己网站后台登录不了,出现这种问题多半是目录的读写权限不足引起的,下面我来介绍解决办法。1session问题查看下 空间的 datasessions 文件夹是否有写入的权限,每次登录会话的参数都保存在这个文件夹下面生成的会话文件sess_dc9d7a2f6d6125ab681dcbafff123456 每个会话文件后台都会判断你是否登录。如果有写入权限,你登录的时候就会生成一个新的文件 ,查看文件日期。如果没有生成新文件,说明这个文件夹是没有写入权限的,请赋写入权限。如果有写入权限,还是登录不进去的话,清空sessions文件夹里面的文件,重新登录下,清除下浏览器的缓存。2直接地址栏传送账户密码(新手不建议用)直接输入后台地址: localhost/dede/loginphpdopost=login&userid=admin&pwd=admin传三个参数就行了,dopost=login userid =帐号,pwd=密码。
dedecms后台管理员密码重置和修改
dede找回密码重设工具!------radminpass
下载地址:radminpasszip
1下载织梦CMS密码重置工具压缩包radminpasszip,解压后得到UTF-8、GBK两个文件夹,根据网站的编码进入相应的文件夹,然后把文件夹里的radminpassphp文件上传到网站的根目录,在浏览器输入http://127001/radminpassphp(把域名更换为自己网站的域名)进入密码重置界面
2在"选择超级管理员ID"下接菜单中选择要重置密码的管理员账号,然后点击"下一步"
3在“用户密码”里输入新的网站管理员密码,点击“确定修改”即可
注意:密码重置后,及时删除radminpassphp文件防止被恶意使
1、data、templets、uploads、a这几个文件设置为可读不可执行权限。a文件保存的是默认的html文件看,可以在后台修改。
2、include、member、plus、dede设置为可读可执行不可写入权限。dede文件夹修改别的名字,这是后台默认登录地址后缀名,用过的织梦的都知道,所以改了吧。
3、如果你的网站没有没有会员登录,专题。可以删掉member、special这两个目录。
4、安装完织梦程序之后,删掉安装的文件install。
5、织梦后台登陆默认登录账号密码都是admin,不要以为把dede文件夹名称改了就以为防患于未然了,一定要做到位。
6、Mysql数据库链接,不使用root用户,单独建立新用户,并给予:SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限。
7、定期进行备份网站目录和数据库,并在后台进行文件校验、病毒扫描、系统错误修复。万一哪天我们的站被黑了,清空了,还能再上传到服务器,完好无损。
8、plus目录删除 ,可以安装一些安全插件。如果是做企业网站用不到会员登录,专题。可以删掉member、special这两个目录。
建议最好还是经常性备份网站,这样才是最安全的。
0条评论