怎样调试织梦CMS(DEDECMS)

2020年1月2日 | 分类: 【技术】

【排错】

报错:undefined function XSSClean()

症状是无法编辑软件,页面空白。奇怪的是新安装的没有此类问题。

Fatal error: Call to undefined function XSSClean() in dede/soft_edit.php on line 81

解决:注释掉81行

//    $arcRow=XSSClean($arcRow);$addRow=XSSClean($addRow);

参考:http://www.ucbug.com/jiaocheng/75161.html
参考:http://www.51zixuewang.com/article/jianzhanjingyan/zhimengdedecmsjiaocheng/228877.html
参考:https://www.douban.com/note/323262360/

需求:附件服务器设置

参考:http://down.admin5.com/edu/dedecms/76542.html
参考:http://down.admin5.com/edu/dedecms/76542.html

【安全】

DEDEDATA设置

1. 将data这个文件夹移动到程序上一层目录:与dedecms系统目录同级;
2. 修改系统目录/include/common.inc.php文件的第24行,修改DEDEDATA常量为新的目录。
3. 进入系统后台,在系统配置中修改模板缓存目录tplcache目录为你相对的目录,比如/../db/data/tplcache
4. 修改网站的首页文件index.php中第9行的/data/common.inc.php也为相对的目录,比如/../db/data/common.inc.php

常规设置:

1. 修改管理目录dede的目录名称
2. 后台管理员不要使用admin或者其他易被猜到的账号
3. 使用最新版的dede cms建站,留意后台的升级信息
4. 如果你用不到会员功能,在系统设置里面关闭会员功能;或者直接请删除member这个文件夹;如果必须使用,请安装360安全补丁。
5. 织梦可删除目录列表:member会员功能,special专题功能,install安装程序(必删),company企业模块,plus\guestbook留言板,友情链接,以及其他模块一般用不上的都可以不安装或删除。总之就是减少别人往网站提交信息的可能。
6. DEDE后台管理目录下的以下文件是后台文件管理器(这俩个功能最多余,也最影响安全,许多HACK都是通过它来挂马的。它简直就是小型挂马器,上传编辑木马忒方便了。一般用不上统统删除)。
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php
5. 不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。避免HACK利用。不需要tag功能请将根目录下的tag.php删除。不需要顶一下、踩一下功能的请将plus目录下的digg_ajax.php和digg_frame.php删除。
6. 将data、templets、uploads、a或html目录, 设置可读写,不可执行的权限
7. 将include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。
8. 文件夹权限不要设置777,data文件夹下的common.inc.php文件设置644属性等,

安装360检测中心提供的dedecms安全修复补丁

本安全补丁共修复12个高危漏洞,并且集成了360网站安全检测的后门查杀和漏洞修复功能。仅适合织梦DedeCMS v5.7 SP1正式版 (2013-07-15发布),对不满足此版本的用户,可以先去官方先升级至这个版本,然后使用补丁包覆盖安装。

注意,先验证网站所有权,再下载补丁包。

下载地址:http://webscan.360.cn/dedecms/about

安装360webscan后,因为需要修改“dede”目录为其他文件夹名,在系统管理时会出现报错:“输入内容存在危险字符,安全起见,已被本站拦截”。此时,需要修改360safe文件夹中webscan_cache.php代码的16行,把单引号之间的内容修改为当前后台文件夹名:

$webscan_white_directory='admin|\/dede\/'

参考:http://www.ithov.com/master/128947.shtml