dedecms 怎样做会员登录、注册、退出会员

首先可以明确的告诉你，DedeCMS的0day漏洞很多，而且也有一年多时间没有维护了。所以网上“流传”DedeCMS不安全、漏洞多是真实的情况，但这也洽洽说明dedecms在以前的确很火。

DedeCMS后台功能上是很齐全的，而且操作起来简单，用来二次开发也比较容易，所以在前几年受到不少套网站的程序员的热爱。正因为如此，再加上它是开源的，所以不少人发现漏洞后就开始攻击基于这款CMS的网站，每次一曝出漏洞，受到影响的网站很多。

考虑到现在官方也没维护了，所以建议大家选择其它CMS，比如PHPCMS在安全性上就给DedeCMS要好得多；而且现在PHP版本都比较高了，DedeCMS在这些高版本的PHP环境下运行会存在一些兼容性问题。

如果你的网站现在用的就是DedeCMS那建议作好安全加固措施，比如：

若网站没有交互，可以全站生成静态页，然后静态页单独部署，将后台和前台分离，这样别人无法攻击动态脚本；

源码目录权限严格控制，避免权限过大导致的非法文件可以上传或者可执行。

综上，DedeCMS不建议选择。

织梦里面的权限是有点不准确的 他代码的判断里面 是只要 只要你的浏览权限比栏目设置的要高即可 你去后台的会员管理那看看 会员等级值 是不是大于10 你可以给注册的会员等级制设置的大一点 如果不行的话 需要修改修改 plus/viewphp 权限判断那的代码

具体方法如下：

1、DedeCMS默认风格里，顶部左边有一段话"织梦CMS - 轻松建站从此开始!",很多朋友想把这段话修改成一个横向登录框，像织梦吧(dedecms8com)顶部一样。

2、打开头部公用模板文件templets/default/headhtm，找到如下汉字：

3、把上图里汉字，替换为如下代码：

<div id="_userlogin">

<form name="userlogin" action="{dede:globalcfg_memberurl/}/index_dophp" method="POST">

<input type="hidden" name="dopost" value="login" />

<span>用户名:</span>

<input type="text" name="userid" size="10" class="ipt-txt" />

<span>密码:</span>

<input type="密码" name="pwd" size="10" class="ipt-txt" />

{dede:php}

if(preg_match("#2#", $safe_gdopen)){

echo '

<span>验证码:</span>

<input type="text" name="vdcode" size="8" class="ipt-txt" />

<img id="vdimgck" align="absmiddle" style="cursor:pointer;margin-left:0px;text-transform:uppercase;" alt="看不清？点击更换" src="'$cfg_cmspath'/include/vdimgckphp"/>';}

{/dede:php}

<button type="submit" class="btn-1">登录</button>

<a href="{dede:globalcfg_memberurl/}/index_dophpfmdo=user&dopost=regnew" >注册账号</a> <a href="{dede:globalcfg_memberurl/}/reset密码php">忘记密码</a>

</form>

</div>

<script language="javascript" type="text/javascript">CheckLogin();</script>

　　改后：

4、其实仅仅这段代码还不够，还需要完成下一步才能达到效果：

那么，我这里为什么没有加这段代码呢这是因为默认主页模板文件indexhtm里，已经包涵了这段代码。如果没有，或被自己删除了，请添加在indexhtm里之前。

打开member/ajax_loginstaphp文件，找到如下代码

5、上图红色框内的代码，即为登录成功后，返回用户信息。多数时候，我们的顶部导航没太宽的地方，以显示这些数据，所有完全没必要全部返回这些信息，可以适当减少几项，并且对div做美化，以达到美观体验。这里，简单做下调整，如下：

6、更新生成后，可以看到如下效果：

这样一个顶部横向登录框就制作完了。

第一，路径寻找很困难，dede虽然漏洞百出，但是后台地址可以任意改这一点很霸道，你基本没法通过猜以外的手法得知。

当然，如果你已经知道，那就可以使用暴力破解软件，但是必须支持DEDE的验证码OCR。

第二，要黑DEDE，要从会员系统入手。如果你了解基本的SQL注入和跨站脚本攻击等手法，可以去专门公布漏洞的网站找一下版本漏洞。毕竟dede的在线升级不是那么的好使，很多人不会升级到最新版，特别是那些从后台把版权隐藏的人。