织梦的历史漏洞

解决dedecms将文章第一张设置为文章缩略图问题：

update dede_archives,dede_addonarticle set

dede_archiveslitpic=substring(dede_addonarticlebody,INSTR(dede_addonarticlebody,'src=\"')+5,100) where

dede_archivesid=dede_addonarticleaid;

update dede_archives set litpic=substring(litpic,1,instr(litpic,'\"' )-1);

将以上sql语句在后台的sql命令行工具里面运行一下即可，注意语句里面的“dede_”改为自己的数据库前缀，系统默认为dede_。

另外注意：之前设置的文章缩略图路径将全部替换，截图文章第一张为缩略图路径(无图则空白)。

前段时间爆出过57的注入上传漏洞，可以通过会员页面，用自己本地专门写的一段上传代码，然后可以上传网页木马，也可以通过注入获取管理员账号密码。是不是你今年都没下载过补丁啊？你上传功能取消了，也许问题不在那，也许之前你网站沦陷的时候，坏蛋就已经在网站目录某个隐蔽的地方留有了一句话后门。你可以去搜索下以前的一篇文章《网马亦网马》，实在不行你就备份下数据库，重新安装一下。当然你要搜索下数据库里有没有网马余孽。至于你说的什么ee还是uu，那完全是坏蛋们自己取的名字，以dede做前缀，不易引起站长们的注意罢了。

2011-8-19 DedeCMS全局变量初始化存在漏洞

描述：可能导致黑客利用漏洞侵入使用DedeCMS的网站服务器，造成网站用户数据泄露、页面被恶意篡改等严重后果。

2012-3-21 DedeCMS官方源码被植入后门

描述：导致黑客可以执行任意代码从而控制整个网站或服务器

2013-3-29DedeCMS安全漏洞

描述：“本地文件包含漏洞”，发现时为“0day”，官方已修复

2013-4-1DedeCMS 爆SQL注入漏洞

描述：乌云平台曝光， “0day”，官方已修复

2013-5-2DedeCMS“重安装”高危安全漏洞

描述：被发现“0day”，通知官方修复并启用临时修复方案

2013-6-4DedeCMS 高危安全漏洞

描述：此漏洞为“0day”，官方已修复

2013-9-30DedeCMS 57版本高危漏洞

描述：乌云白帽子上报，“0day”，跨站脚本漏洞，可在前台插入恶意JS代码，黑客已经利用

2014-1-6DedeCMS会员投稿跨站脚本漏洞

描述：攻击者可通过“会员投稿”插入恶意代码，后台管理审稿时“中招”可导致网站被黑

2014-2-17swfuploadswf跨站漏洞

描述：该漏洞乌云平台上报，站长反馈网站在检测时检测出此漏洞，已提供修复方案

2014-3-4DedeCMS多个安全漏洞

描述：包括2个高危及多个曾经预警的官方没修复的漏洞。官方发布补丁修复但没有全部修复

2014-03-05dedecmsV5738 GBK正式版20140305常规更新补丁 member/soft_addphp修复功能错误及存在的漏洞member/soft_editphp修复功能错误及存在的漏洞include/filterincphp修复功能错误及存在的漏洞2014-03-11dedecmsV5739 GBK正式版20140311常规更新补丁 data/module/606c658db048ea7328ffe1c7ae2a732fxml新增畅言模块include/helpers/channelunithelperphp模板标签解析功能完善include/inc/inc_fun_funAdminphp更新提示站点迁移完善include/taglib/flinklibphp友情链接标签缓存完善2014-03-13dedecmsV5740 GBK正式版20140313常规更新补丁 include/helpers/channelunithelperphp修复一个标签解析错误2014-11-28DEDECMS官方网被黑，黑客在织梦服务器端植入恶意代码，所有织梦用户访问后台时会提示下载1exe文件，该程序为后门，一旦下载便会感染成为远控端，而且该病毒会实现反复感染。如果用户为IE浏览器，则会直接感染成为远控端。

在系统设置里面，基本设置（就是第一个），会员管理，里面有一个选项，把 -10 改成 0 就好了

这个是取消邮箱验证的

你说的去掉邮箱必填的应该是在前台jquery验证哪里，可以直接删除的。