DEDECMS 原先装过dedecms 卸载了，不过现在刚装好DEDECMS 可是一直提示 验证码错误 后台登不上去

dede数据库字段说明：dede_addonarticle 附加文章表

aid int（11） 文章编号

typeid int（11） 分类栏目编号

body mediumtext 文章内容

dede_addonflash 附加Flash表

aid int（11） FLASH编号

typeid int（11） 分类栏目编号

filesize varchar（10） 文件大小

playtime varchar（10） 播放时长

flashtype varchar（10） 作品类型

flashrank smallint（6） 作品等级

width smallint（6） 影片宽度

height smallint（6） 影片高度

flashurl varchar（80） FLASH地址

dede_addonimages 附加图集表

aid int（11） 图集编号

typeid int（11） 分类栏目编号

pagestyle smallint（6） 表现方式（1单页显示 2分多页显示 3多行多列展示）

maxwidth smallint（6） 大图限制宽度

imgurls text 集内容（标签存放）

row smallint（6） 多列式参数（行）

col smallint（6） 多列式参数（列）

isrm smallint（6） 是否下载远程

ddmaxwidth smallint（6） 小宽度限制

dede_addonsoft 附加软件表

aid int（11） 软件编号

typeid int（11） 分类栏目编号

filetype varchar（10） 文件类型

language varchar（10） 界面语言

softtype varchar（10） 软件类型

accredit varchar（10） 授权方式

os varchar（30） 运行环境

softrank int（11） 软件等级

officialUrl varchar（30） 官方网址

officialDemo varchar（50） 程序演示地址

softsize varchar（10） 软件大小

softlinks text 软件下载链接列表

introduce text 软件介绍

dede_addonspec 附加专题表

aid int（11） 专题编号

typeid int（11） 分类栏目编号

note text 专题内容（仅存放标签代码）

dede_admin管理员信息表

ID int（10） 自动编号

usertype int（10） 用户类型

userid varchar（30） 用户登录ID

pwd varchar（50） 用户密码

uname varchar（20） 用户笔名

tname varchar（30） 真实姓名

email varchar（30） 电子邮箱

typeid int（11） 负责频道（0表示全部）

logintime datetime 登录时间

loginip varchar（20） 登录IP

dede_admintype 系统用户组管理表

rank smallint（6） 组级别编号

typename varchar（30） 组名称

system smallint（6） 是否为系统默认组

purviews text 权限列表

dede_arcatt文档自定义属性表

att smallint（6） 编号

attname varchar（30） 属性名称

dede_archives 文章表

ID int（11） 自动编号

typeid int（11） 所属主栏目编号

typeid2 int（11） 所属副栏目编号

sortrank int（11） 文章排序（置顶方法）

iscommend smallint（6） 是否推荐

ismake smallint（6） 是否生成静态

channel int（11） 文章所属模型

arcrank smallint（6） 阅读权限

click int（11） 点击次数

money smallint（6） 消费点数

title varchar（80） 标题

shorttitle varchar（36） 简略标题

color varchar（10） 标题颜色

writer varchar（30） 作者

source varchar（50） 来源

litpic varchar（100） 缩略图

pubdate int（11） 录入时间

senddate int（11） 发布时间

arcatt smallint（6） 自定属性（att）

adminID int（11） 发布管理员ID

memberID int（11） 发布会员ID

description varchar（250） 摘要

keywords varchar（60） 关键词

templet varchar（60） 文档模板

lastpost int（11） 最近评论时间

postnum int（11） 评论数目

redirecturl varchar（150） 跳转网址

mtype int（11） 用户自定义分类

userip varchar（20） 用户IP

locklikeid smallint（6） 是否锁定相关文章

likeid varchar（240） 相关文章ID

dede_arcrank 阅读权限表

ID int（10） 自动编号

rank smallint（10） 权限等级

membername varchar（20） 等级名称

adminrank smallint（10） 管理等级

money int（11） 消费点数

dede_arctype 栏目管理表

ID int（10） 栏目编号（自动编号）

reID int（10） 父栏目编号

topID int（10）

sortrank smallint（6） 排序编号

typename varchar（30） 栏目名称

typedir varchar（100） 栏目目录

isdefault smallint（6） 栏目列表选项（1链接到默认页 0链接到列表第一页 -1使用动态页）

defaultname varchar（20） 默认页的名称

issend smallint（6） 是否支持投稿

channeltype smallint（6） 频道类型

maxpage int（11） 保留

ispart smallint（6） 栏目属性

corank smallint（6） 浏览权限

tempindex varchar（60） 封面模板

templist varchar（60） 列表模板

temparticle varchar（60） 文章模板

tempone varchar（60） 单独页面模板

namerule varchar（50） 文章命名规则

namerule2 varchar（50） 列表命名规则

modname varchar（30） 模板名称

description varchar（200） 栏目介绍

keywords varchar（100） 关键词

moresite smallint（6） 多站点支持

siterefer smallint（6） 多站点站点根目录属性

sitepath varchar（60） 多站点站点根目录

siteurl varchar（60） 多站点绑定域名

ishidden smallint（6） 是否隐藏栏目

dede_sgpage 单页

上面是一些常用字段，可以在dede后台-》系统-》SQL命令行工具执行sql语句来批量修改！

开学了，返校了，又在宿舍上网了，但现在的校园网安全吗暑假中，DeDeCMS系统曝出了严重的漏洞，这个系统在很多学校的校园网中存在，黑客利用该漏洞就可以控制校园网，进行挂马、嵌入病毒……不过校园网中不乏电脑高手，下面我们就来看看“红帽”同学对自己学校网站的开学安全检测。

我的网名叫“红帽”，我猜每一个大学校园里，都有像我这样的一号人，我们对电脑充分的了解，面对互联网海洋时，就如同游泳池中的菲尔普斯一样。无论你需要找到什么东西，只要它存在于互联网之中，或者在互联网中生活过一段时间，我都能够帮助你找到源头，或者帮你把你感兴趣的东西弄到手。你猜对了，我就是黑客，活跃在校园里面的黑客。

我自认为算是高手，帮同学从别的黑客手里**回被窃的账号，在网吧让一个讨厌鬼不停的更换电脑，也曾经尝试着入侵NASA的计算机网络。

这段日子正是开学的日子，我准备对我的学校网站进行了一次安全检测。或许你要问，为什么要对自己学校的网站进行安全检测我们学校用了DeDeCMS系统(中文名称是织梦内容管理系统)，这个系统在很多学校中被使用。

博弈主题：攻击DeDeCMS整站系统

技术难度：★★★★

重点知识：如何用新的DeDeCMS漏洞来入侵

DeDeCMS系统被很多学校使用并不能让我产生检测自己学校的网站的念头，真正让我产生这个念头的原因是这个系统最近曝出了严重的漏洞，不知道网管补上该漏洞没有，如果没有补上，大家回校后上校园网就危险了。

DeDeCMS身藏URL编码漏洞

这次DeDeCMS新出的漏洞是一个URL编解码漏洞，导致漏洞出现的原因是DeDeCMS的设计者在joblistphp、guestbook_adminphp等文件中对orderby参数未做过滤。黑客可以利用这些漏洞查询数据库的敏感信息，例如管理员密码、加密key等，一旦这些敏感资料被黑客掌握，要在校园网内挂马就是轻而易举的事情了，真危险。

小知识：编码是将源对象内容按照一种标准转换为一种标准格式内容。解码是和编码对应的，它使用和编码相同的标准将编码内容还原为最初的对象内容。编解码的目的最初是为了加密信息，经过加密的内容不知道编码标准的人很难识别。

实战入侵

既然知道了漏洞的成因，下面就来亲手检测一下。目前有两种方案可以实现DeDeCMS整站系统的入侵，一种是PHP脚本的入侵方案，采用这种方案，需要先在自己的本机调试好PHP解析环境，然后登录入侵的目标网站，在PHP环境中运行漏洞测试代码。不过这种方案实行起来相对复杂，因此我使用第二种进行检测，通过漏洞检测注入程序直接注入。

首先，登录学校的网站。然后打开《DeDeCMS漏洞注入检测程序》，点击“Target

Infomation”标签选项，在“URL”一项后面将寻找到的有DeDeCMS系统漏洞的网址复制粘贴到地址输入框，这里利用DeDeCMS的网站路径地址“/include/htmledit/indexphp”得到网站的物理路径。

在登录系统之后，复制浏览器地址栏中的网站路径，例如[url=http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren]http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren[/url]，然后复制粘贴提交测试，粘贴完成后点击“Check”按钮，测试网站是否符合条件

1、空间满了。我遇到的验证码错误都是空间满了，如果也遇到验证码错误的问题，可以先检查是否空间满了。

2、用ftp进入你的dedecms程序空间，把data/session目录下除indexhtm外的其它session文件都删除，然后本地ie浏览器清除缓存。重新登录dedecms后台试试看。

3、可以取消掉验证码，具体方法如下：

实现的方法一共分为两步来进行：

打开 loginphp 找到：

替换为： 

if( false )

然后，在模板dede/templets/loginhtm里去掉以下验证码的具体HTML代码：

<input name="validate" type="text" id="vdcode” style="width:50px;text-transform:uppercase;" />

<img id="vdimgck" src="/include/vdimgckphp" alt="看不清？点击更换" align="absmiddle" style="cursor:pointer" onclick="thissrc=thissrc+''" />

</li>

织梦后台登陆不上提示验证码不正确

1密码明明正确的，却无法登陆后台管理

解答：

此外，不管是新人，还是phper，都要注意的是：用户名和密码只能由 [a-z A-Z - _ @ ] 这些字符组成，不能是中文或其它的符号。

2验证码明明正确的，就是提示验证码不正确，而无法登陆后台。

解答：我就清空了一下cookies和IE临时文件夹，就可以，如果不行，看下面。

通过FTP进入根目录

修改/data/safe下的inc_safe_configphp

把$safe_gdopen值中的6去掉在登陆后台的时候就不会出现验证码了

比如这样：$safe_gdopen = '1,2,3,4,5,7';

如还是不行，进不了后台~ 虽然没有了验证码 但是 提示 密码错误。。怎么输入都是提示密码错误

别人都说是没有写入权限

回答识别密码不用写入权限

因此，确实是你密码错误

最新发现的可以解决DEDE模板网站后台登陆“验证码不正确”的办法

今天帮客户做的一个织梦CMS网站又出现登录DED后台，提示;验证码不正确。

找了很多解决办法都弄不好，最后用下面的方法终于弄好了。<br />

下面给出解决办法：

首先，进入data/session目录，将这个目录下的除indexhtm外的其它session文件全部删除掉。然后再把本地IE浏览器的缓存清理了干净。

最后重新进入织梦网站后台首页终于是正常的了。这是我解决织梦dedecms模板网站后台登录提示验证码不正确的最快捷解决办法。

比较常见的就是目录的权限设置问题，导致后台文件权限问题，详细要参考《DEDE织梦目录权限安全设置说明文档重要

dede57验证码不正确解决办法，提供一种我遇到的情况，/data/sessions无写入权限，给足权限即可。

[其他问题] 各种dede织梦后台登陆验证码错误或不显示解决方法汇总：

各种dede织梦后台登陆验证码错误或不显示解决方法汇总！常见的就是验证码输入明明正确但却提示不正确，或者压根不显

示。说一下碰到这种情况的几种原因：

①dede版本程序升级操作不正确造成验证码提示不正确

②更好空间新的空间里phoini里gd库配置问题

③网站空间满了

④专对57版本转移data目录引起的（此种请查看：如何将dede织梦data目录正确迁移及引起的问题解决方法）

⑤程序内/data/session目录权限设置问题

⑥清除浏览器的cookies，重启浏览器；

⑦网速不行，换个时间，等网速快了再试!

⑧网站程序出错，重新上传安装；

好了，引起dede织梦后台登陆验证码错误或者不显示的原因找到了，那么现在我们来总结一下解决办法。

1、如果是57版本的转移data目录引起的。

请改一下/include/vdimgckphp这个文件 这个文件里也调用了DATA里的文件也可以改路径,把带有这个 //data 改成你现

在的路径。

2、查阅资料后得知，session没有清除，去data/session目录下，将除indexhtml以外文件全部删除就可以了。

3、如果还是不行，看session是否有写入权限，如果没有的话，给"internet来宾账户"添加写入权限，Linux的话，目录权

限设置为"777"。4、设置服务器的phpini：打开phpini 文件找到;sessionsave_path = "/tmp" 改写成sessioncookie_path = /把

extension=php_gd2dll;将他前面的分号;去掉。

5、检查你的空间是不是满了，测试的方法是你可以随便上传FTP空间里一个文件，会有提示，你可以联系空间服务商。

6、直接去掉验证码：打开 loginphp 找到：

if($validate=='' || $validate != $svali)

替换为：

if( false )

然后，在模板dede/templets/loginhtm里去掉以下验证码的具体HTML代码：

<li><span>验证码：</span>

<input name="validate" type="text" id="vdcode" style='width:50px;text-transform:uppercase;'

class="text" /> <img id="vdimgck" src="/include/vdimgckphp" alt="看不清？点击更换" align="absmiddle"

style="cursor:pointer" />

</li>

或者是：在[验证码安全设置]里，说修改后的保存实际上是修改了data\safe\inc_safe_configphp 这个文件，这是个配置

文件。

比如：$safe_gdopen = '1,2,3,5,6'; 这个就是系统哪些地方开启验证码。与[验证码安全设置]界面是一对一的关系。

所以，如果当我们管理后台想关闭验证码(如果验证码无法正确输入，不支持GB库)的时候，只需要打开data\safe

\inc_safe_configphp 将$safe_gdopen = '1,2,3,5,6'; 中的6删除即可。不必去进行繁琐的设置。

如图

7、是修改include文件夹的vdimgckphp文件修改以下段落，

//Session保存路径

$sessSavePath = dirname(__FILE__)"//data/sessions/";

修改为//$sessSavePath = dirname(__FILE__)"//data/sessions/";

修改后，时管用时不管用，改回来也是这样的情况。如果把DEDE后台路径修改默认的DEDE文件夹，就不会出现验证码错误的

情况。最后如果以上方法均不适用的话，那么你就重新安装下对应版本的程序，然后将您的css及文件，模板文件，upload文

件夹转移过来。最后还原数据库。

这个提示并不是系统错误或者是BUG，而是CMS系统的一种安全防护。

提示解说：CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

解决方法：简单讲，出现这个提示，就是当前使用的CMS系统中修改的网页有验证内容，当检测非原网站的链接时，就会有这样的提示，需要自行修改dede目录中的tplphp页面内，相关的CSRF验证代码。