dedecms 的后台怎么爆啊,能告诉我详细一点吗
你这样写:
<img src="{dede:arclist orderby='id' orderway='desc' flag='' limit='0,1'}[field:litpic/]{/dede:arclist}" alt="{dede:arclist orderby='id' orderway='desc' flag='' limit='0,1'}[field:fulltitle/]{/dede:arclist}"/> 不正确。
列表页调用这样写:
{dede:list pagesize='16' typeid='1' orderby='id'}
<li>
<a href="[field:arcurl/]" target="_blank"><img src="[field:litpic/]" alt="[field:title/]" width="295" height="196" class="lazy"/></a>
<p><a href="[field:arcurl/]">[field:title/] - 浏览次数:[field:click/]</a></p>
</li>
{/dede:list}
首页调用文章内容页
{dede:arclist flag=h typeid=2 row=1 titlelen='200' orderby=pubdate}
<div class="data-news">
<dl>
<dt><a href="[field:arcurl/]" target="_blank">[field:title/]</a></dt>
<dd><a href="[field:arcurl/]" target="_blank">[field:id runphp='yes'] $aid = @me; $row = $GLOBALS['dsql']->GetOne("Select body From `2d30_addonarticle` where aid='$aid' "); @me = cn_substr(strip_tags("{$row['body']}"),960);[/field:id]</a></dd>
</dl>
{/dede:arclist}
调用全文语句:
[field:id runphp='yes'] $aid = @me; $row = $GLOBALS['dsql']->GetOne("Select body From `dede_addonarticle` where aid='$aid' "); @me = "{$row['body']}";[/field:id]
DEDE调用当前栏目的相关内容标签:(标签如下)
<div> <dl> <dt><strong>相关文章</strong></dt> <dd> <ul> {dede:likearticle col='2' row='10' titlelen='42'} <li><a href="[field:arcurl/]">[field:title/]</a></li> {/dede:likearticle} </ul> </dd> </dl></div>
DEDE调用整站所有栏目的相关内容标签:(标签如下)
<div> <dl> <dt><strong>相关文章</strong></dt> <dd> <ul> {dede:likearticle typeid='1,2,3,4,5' col='2' row='10' titlelen='42'} <li><a href="[field:arcurl/]">[field:title/]</a></li> {/dede:likearticle} </ul> </dd> </dl></div>
第一,路径寻找很困难,dede虽然漏洞百出,但是后台地址可以任意改这一点很霸道,你基本没法通过猜以外的手法得知。
当然,如果你已经知道,那就可以使用暴力破解软件,但是必须支持DEDE的验证码OCR。
第二,要黑DEDE,要从会员系统入手。如果你了解基本的SQL注入和跨站脚本攻击等手法,可以去专门公布漏洞的网站找一下版本漏洞。毕竟dede的在线升级不是那么的好使,很多人不会升级到最新版,特别是那些从后台把版权隐藏的人。
循环h3调用一个头条,用flag=‘c’来区别
下面的五条正常调用
{dede:list}
<li><a href="链接" target="_blank">标题</a></li>
{/dede:list}
$ctag->GetAtt('flag');当前默认情况下flag设置的是c属性。。如果必须在标签中存在这个flag这个字段例如:
{dede:arclist wodefiled='你号'}
{/dede:arclist}
那么在你的arclistlibphp中的代码就可以使用$ctag->GetAtt('wodefiled=');
在这种情况下可以获取到你的字段。。
如果当前你想调用默认的falg的标签就无需这么GetAtt了 它不会去查找你的定义默认的标签$attlist="flag|c,row|12,titlelen|24";也就是说你当前这里定义的属性不需要使用GetAtt来调用。
而如果{dede:arclist flag='h'}
{/dede:arclist}
而设置了flag的属性就可以调用了。
0条评论