修改网站源码，360卫士拦截了织梦dede里的tplphp怎么办

360发布通用php防护代码，其实最初是协助phpcms来防护安全用的，现在看来可以加入到任何有漏洞的网站里面，拿phpcmsv9问题，解决方案如下，其他网站以此类推！

1将360_safe3php传到要包含的文件的目录

2在页面中加入防护，有两种做法，根据情况二选一即可：

a)在所需要防护的页面加入代码

require_once('360_safe3php');

就可以做到页面防注入、跨站

如果想整站防注，就在网站的一个公用文件中，如数据库链接文件configincphp中！

添加require_once('360_safe3php');来调用本代码

常用php系统添加文件

PHPCMS V9 \phpcms\basephp

PHPWIND87 \data\sql_configphp

DEDECMS57 \data\commonincphp

DiscuzX2 \config\config_globalphp

Wordpress \wp-configphp

Metinfo \include\headphp

b)在每个文件最前加上代码

在phpini中找到:

Automatically add files before or after any PHP document

auto_prepend_file = 360_safe3php路径;

用户名，密码复杂性，即使hack拿到密码也不容易逆转破解；后台目录务必重命名，越复杂最好；关注官方网站，跟相应的杀毒软件，定时修补补丁，定时查杀多余php文件；

后台设置，删除多余会员，关闭会员功能，系统基本参数-会员设置，互动设置等限制；

精简设置，不需要的功能都删掉，每个目录下加一个空的indexhtml,防止目录被访问；可删除的功能：member，special，install（必删），company（企业模块），plus\guesbook留言板等一般用不上的功能；

可以删除不必要但容易受攻击的文件（再文件夹下搜索即可）：file_manage_controlphp，file_manage_mainphp，file_manage_viewphp，media_addphp，media_editphp，media_mainphp,downloadphp(没有下载功能)，feedbackphp(评论功能)这些文件是后台文件管理器(这俩个功能最多余，也最影响安全，许多HACK都是通过它来挂马的。它简直就是小型挂马器，上传编辑木马忒方便了。一般用不上统统删除) 。

不需要SQL命令运行器的将dede/sys_sql_queryphp 文件删除。避免HACK利用。

不需要tag功能请将根目录下的tagphp删除。不需要顶客请将根目录下的diggphp与diggindexphp删除。

为了防止HACK利用发布文档，上传木马。请安装完成后阻止上传PHP代码。到此基本堵上了所有上传与编辑木马的可能性。(在50以上的版本本身已经作好修改了,这点经测试比较过的)

织梦权限设置，

1>include,plus,member等附加组件 可读取 不可写入 执行脚本（纯脚本）

data、templets、uploads,images 可读写 不可执行（执行权限无）

2>设置iis权限，去掉user权限，自己设置一个权限；目录设置、不允许执行脚本：

织梦关闭自定义表单前台预览，删除友情链接申请功能；网站提交登陆一定要有验证码，防止hack暴力破解，提交。

也可以使用第三方安全插件：如360网站卫士，DedeCms万能安全防护代码等也可以使用织梦自带的木马查杀攻击：系统—病毒扫描—开始扫描，删除织梦系统以为的php文件；

将360卫士关闭，修改网站源码完成后再开起即可防止360卫士拦截织梦dede里的tplphp，具体操作步骤如下：

1、找到任务栏中的360安全卫士图标，右击，如下图所示；

2、选择“退出”选项，鼠标左击，如下图所示；

3、选择“继续退出”选项，鼠标左击，即可关闭360安全卫士，如下图所示。