【模范】
模范:https://www.diybloghome.com/phpcode/1812.html
模范:http://www.aspku.com/
【资源】
漏洞:https://www.cnblogs.com/fnote/p/7987048.html
资源:https://www.xiuzhanwang.com/dedecms_mk/
插件:点卡
资源:织梦后台–插件–安装卡密充值
手册:https://jingyan.baidu.com/article/ab69b270e384622ca7189f16.html
手册:http://www.dede58.com/a/dedeaz/3085.html
https://www.enboo.cn/chajianfenxiang/zhimengchajian/22188.html
http://www.dedecms51.com/dedecmsjiaocheng/biaoqiandiaoyong/150638.html
【安装】
下载解压:
下载:http://www.dedecms.com/products/dedecms/downloads/
wget http://updatenew.dedecms.com/base-v57/package/DedeCMS-V5.7-UTF8-SP2.tar.gz && tar -zxvf DedeCMS-V5.7-UTF8-SP2.tar.gz && mv DedeCMS-V5.7-UTF8-SP2/uploads portal && rm -rf DedeCMS-V5.7-UTF8-SP2
设置目录权限:
改变主目录权限为777(否则会出现后台左侧菜单无法打开的情况):
chmod 777 portal
改变以下所有子目录的权限为777:
cd portal && chmod -R 777 plus dede data a install special uploads
安装:
【数据库批处理】
批量设置为自动生成静态页面:
SELECT * FROM `cto_archives` WHERE 1 UPDATE `cto_archives` SET `ismake` = 1 ;
【排错】
报错:undefined function XSSClean()
症状是无法编辑软件,页面空白。奇怪的是新安装的没有此类问题。
Fatal error: Call to undefined function XSSClean() in dede/soft_edit.php on line 81
解决:注释掉81行
// $arcRow=XSSClean($arcRow);$addRow=XSSClean($addRow);
参考:http://www.ucbug.com/jiaocheng/75161.html
参考:http://www.51zixuewang.com/article/jianzhanjingyan/zhimengdedecmsjiaocheng/228877.html
参考:https://www.douban.com/note/323262360/
需求:附件服务器设置
参考:http://down.admin5.com/edu/dedecms/76542.html
参考:http://down.admin5.com/edu/dedecms/76542.html
【安全】
DEDEDATA设置
1. 将data这个文件夹移动到程序上一层目录:与dedecms系统目录同级;
2. 修改系统目录/include/common.inc.php文件的第24行,修改DEDEDATA常量为新的目录。
3. 进入系统后台,在系统配置中修改模板缓存目录tplcache目录为你相对的目录,比如/../db/data/tplcache
4. 修改网站的首页文件index.php中第9行的/data/common.inc.php也为相对的目录,比如/../db/data/common.inc.php
常规设置:
1. 修改管理目录dede的目录名称
2. 后台管理员不要使用admin或者其他易被猜到的账号
3. 使用最新版的dede cms建站,留意后台的升级信息
4. 如果你用不到会员功能,在系统设置里面关闭会员功能;或者直接请删除member这个文件夹;如果必须使用,请安装360安全补丁。
5. 织梦可删除目录列表:member会员功能,special专题功能,install安装程序(必删),company企业模块,plus\guestbook留言板,友情链接,以及其他模块一般用不上的都可以不安装或删除。总之就是减少别人往网站提交信息的可能。
6. DEDE后台管理目录下的以下文件是后台文件管理器(这俩个功能最多余,也最影响安全,许多HACK都是通过它来挂马的。它简直就是小型挂马器,上传编辑木马忒方便了。一般用不上统统删除)。
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php
5. 不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。避免HACK利用。不需要tag功能请将根目录下的tag.php删除。不需要顶一下、踩一下功能的请将plus目录下的digg_ajax.php和digg_frame.php删除。
6. 将data、templets、uploads、a或html目录, 设置可读写,不可执行的权限
7. 将include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。
8. 文件夹权限不要设置777,data文件夹下的common.inc.php文件设置644属性等,
安装360检测中心提供的dedecms安全修复补丁
本安全补丁共修复12个高危漏洞,并且集成了360网站安全检测的后门查杀和漏洞修复功能。仅适合织梦DedeCMS v5.7 SP1正式版 (2013-07-15发布),对不满足此版本的用户,可以先去官方先升级至这个版本,然后使用补丁包覆盖安装。
注意,先验证网站所有权,再下载补丁包。
下载地址:http://webscan.360.cn/dedecms/about
安装360webscan后,因为需要修改“dede”目录为其他文件夹名,在系统管理时会出现报错:“输入内容存在危险字符,安全起见,已被本站拦截”。此时,需要修改360safe文件夹中webscan_cache.php代码的16行,把单引号之间的内容修改为当前后台文件夹名:
$webscan_white_directory='admin|\/dede\/'