网站安全问题：本人用dedecms织梦系统建站，但是每天被黑客挂黑页，有什么方法防御没。

dedecms页面如何获取会员状态的实例代码

前几天做了一个企业网站，导航栏增加了会员信息，如：

已登陆：显示：欢迎 未登陆 显示： 请登录

代码如下:

代码如下:

{dede:php}

require_once(DEDEMEMBER"/configphp");

$uid = $cfg_ml->M_LoginID;

if(!$uid){

echo '

登录 |加入

';

}else{

echo '

'$uid' |/index_dophpfmdo=login&dopost=exit">登出

';

}

{/dede:php}

1

新建一个变量；进入系统——系统基本参数——添加最新变量右上角：点击保存变量，后台参数中就会多出一个网站底部信息变量的输入框，输入底部信息，通过：{dede:global

dede_powerby/}就可以在模板中调用了

有了我们自己的版权信息变量，我们就可以删除之前系统自带的版权信息变量

我们使用sql命令工具在系统设置下面有个sql命令工具在输入框输入以下SQL语句，即可删除系统的版权信息变量

SQL语句：1DELETEFROMdede_sysconfigWHEREvarname="cfg_powerby"2

修改源码除了添加另一个变量之外，还可以看看官方的最新补丁使用到什么，通过查看6

7日官方更新补丁，织梦DedeCMS官方在6月7号的安全补丁主要更新文件是include/dedesql

class

php,修复变量覆盖漏洞

但是下面的这段代码明显是不正常的，为什么要用这种编码呢？删除该文件的下面这段代码就可以解决这个问题了

代码如下：12$arrs1=array(0x63,0x66,0x67,0x5f,0x70,0x6f,0x77,0x65,0x72,0x62,0x79);$arrs2=array(0x20,0x3c,0x61,0x20,0x68,0x72,0x65,0x66,0x3d,0x68,0x74,0x74,0x70,0x3a,0x2f,0x2f,0x77,0x77,0x77,0x2e,0x64,0x65,0x64,0x65,0x63,0x6d,0x73,0x2e,0x63,0x6f,0x6d,0x20,0x74,0x61,0x72,0x67,0x65,0x74,0x3d,0x27,0x5f,0x62,0x6c,0x61,0x6e,0x6b,0x27,0x3e,0x50,0x6f,0x77,0x65,0x72,0x20,0x62,0x79,0x20,0x44,0x65,0x64,0x65,0x43,0x6d,0x73,0x3c,0x2f,0x61,0x3e);以上2个方法都可以有效去除底部的版权信息，但是不建议用第二种，会造成注入漏洞的隐患，最好使用第一种！

织梦的系统安全配置你可以去看一下。如果全部配置好之后应该还算是安全的，另外你要检查一下你的代码，看有没有一些木马，全部去除掉。还有的就是自己换一台好的主机，要不然别人通过旁注还是可以黑你的网站。

一经常检查网站数据

一般被挂马的网站大部分是长期无人管理维护的网站，尤其是一些企业网站，包括前文提到的我的2个被挂马的网站就是由于一些原因长期没有管理维护的原因，后来是域名要到期了续费之后顺便检查下了网站就发现被挂黑链了。目前黑链市场依然还很火爆，所以尽量定期抽出时间检查下你不常更新的网站。

二dedecms系统漏洞

由于dedecms的流行，用dedecms仿站成了被黑客攻击的目标之一，从dedecms51到现在的57，依然有部分漏洞，用dedecms做的网站要注意以下几点，

1修改默认后台（dede）路径

2删除install安装目录

3如果不需要使用会员可以直接删除member目录

大部分黑客入侵dedecms网站就是利用会员投稿功能，上传木马文件。

三禁止重要文件和目录被执行、写入

dedecms系统网站可以做如下设置

1以下目录：data、templets、uploads、a设置可读写不可执行权限。

2以下目录：include、member、plus、dede设置为可读可执行不可写入权限。

目前很多使用discuz和phpwind制作的网站也被入侵就是由于重要目录和文件权限没有设置好。

四网站被入侵以后如何处理

1用备份文件覆盖

2没有备份的话，找出最近被修改的文件，查看这些文件是否包含恶意代码。

3找出网站程序多出的文件，重点注意网站根目录是否有未知文件。

五ftp和服务器安全设置

建议使用linux服务器，ftp和服务器用户名和密码要设置复杂点，尽量用字母+数字+特殊符号，使用独立服务器或者vps的要详细了解服务器安全配置方面的教程，确保服务器安全。

具体方法如下：

1、DedeCMS默认风格里，顶部左边有一段话"织梦CMS - 轻松建站从此开始!",很多朋友想把这段话修改成一个横向登录框，像织梦吧(dedecms8com)顶部一样。

2、打开头部公用模板文件templets/default/headhtm，找到如下汉字：

3、把上图里汉字，替换为如下代码：

<div id="_userlogin">

<form name="userlogin" action="{dede:globalcfg_memberurl/}/index_dophp" method="POST">

<input type="hidden" name="dopost" value="login" />

<span>用户名:</span>

<input type="text" name="userid" size="10" class="ipt-txt" />

<span>密码:</span>

<input type="密码" name="pwd" size="10" class="ipt-txt" />

{dede:php}

if(preg_match("#2#", $safe_gdopen)){

echo '

<span>验证码:</span>

<input type="text" name="vdcode" size="8" class="ipt-txt" />

<img id="vdimgck" align="absmiddle" style="cursor:pointer;margin-left:0px;text-transform:uppercase;" alt="看不清？点击更换" src="'$cfg_cmspath'/include/vdimgckphp"/>';}

{/dede:php}

<button type="submit" class="btn-1">登录</button>

<a href="{dede:globalcfg_memberurl/}/index_dophpfmdo=user&dopost=regnew" >注册账号</a> <a href="{dede:globalcfg_memberurl/}/reset密码php">忘记密码</a>

</form>

</div>

<script language="javascript" type="text/javascript">CheckLogin();</script>

　　改后：

4、其实仅仅这段代码还不够，还需要完成下一步才能达到效果：

那么，我这里为什么没有加这段代码呢这是因为默认主页模板文件indexhtm里，已经包涵了这段代码。如果没有，或被自己删除了，请添加在indexhtm里之前。

打开member/ajax_loginstaphp文件，找到如下代码

5、上图红色框内的代码，即为登录成功后，返回用户信息。多数时候，我们的顶部导航没太宽的地方，以显示这些数据，所有完全没必要全部返回这些信息，可以适当减少几项，并且对div做美化，以达到美观体验。这里，简单做下调整，如下：

6、更新生成后，可以看到如下效果：

这样一个顶部横向登录框就制作完了。

版本信息：DedeCMS V57 SP1正式版(2013-06-07)

软件大小：716MB

更新时间：2013年6月07日

配置环境：IIS/Apache + PHP4/PHP5 + MySQL4/5

版本类型：完整版下载(含带所有模块)：GBK版本 UTF-8版本

最新漏洞消息：

第三方漏洞报告平台乌云最新曝光DedeCMS（织梦）建站系统SQL注入漏洞。攻击者可以借此漏洞实施攻击，直接窃取服务器数据。据360网站安全检测对注册用户的分析发现，半数以上使用DedeCMS系统的网站受到该漏洞威胁，建议站长尽快安装织梦官方补丁。

首先可以明确的告诉你，DedeCMS的0day漏洞很多，而且也有一年多时间没有维护了。所以网上“流传”DedeCMS不安全、漏洞多是真实的情况，但这也洽洽说明dedecms在以前的确很火。

DedeCMS后台功能上是很齐全的，而且操作起来简单，用来二次开发也比较容易，所以在前几年受到不少套网站的程序员的热爱。正因为如此，再加上它是开源的，所以不少人发现漏洞后就开始攻击基于这款CMS的网站，每次一曝出漏洞，受到影响的网站很多。

考虑到现在官方也没维护了，所以建议大家选择其它CMS，比如PHPCMS在安全性上就给DedeCMS要好得多；而且现在PHP版本都比较高了，DedeCMS在这些高版本的PHP环境下运行会存在一些兼容性问题。

如果你的网站现在用的就是DedeCMS那建议作好安全加固措施，比如：

若网站没有交互，可以全站生成静态页，然后静态页单独部署，将后台和前台分离，这样别人无法攻击动态脚本；

源码目录权限严格控制，避免权限过大导致的非法文件可以上传或者可执行。

综上，DedeCMS不建议选择。

实际任何程序都有漏洞 只不过用织梦的人比较多 windows系统每天还那么多漏洞恩！

你百度一下“织梦DedeCMS实用技巧-八大安全措施”这篇文章介绍如果防止黑客攻击织梦系统，青龙建站教程自学网建议你网站装上百度云加速， 这样能够更有效的防止黑客攻击！