偶然間發(fā)現(xiàn)我的一個(gè)織夢(mèng)dedecms網(wǎng)站會(huì)員發(fā)布圖片時(shí)需要"輸入后臺(tái)管理目錄",這不是為難普通會(huì)員嗎!

這也無形中給惡意用戶爆破后臺(tái)的機(jī)會(huì)

在百度搜了一個(gè),這個(gè)問題不常見

匯總了一下出現(xiàn)類似的情況有三種:

1.dedecms在會(huì)員中心上傳圖片的時(shí)候，會(huì)有“提示：需輸入后臺(tái)管理目錄才能登錄”

2.dedeCMS上傳附件提示＂需輸入后臺(tái)管理目錄才能登錄＂的解決辦法

3.后臺(tái)上傳圖片時(shí)，出現(xiàn)：“提示：提示：需輸入后臺(tái)管理目錄才能登錄 ”，接著一個(gè)input框，讓“請(qǐng)輸入后臺(tái)管理目錄名”

網(wǎng)上普遍給出的一個(gè)方法是:

(這個(gè)方法是去除了會(huì)員身份驗(yàn)證,會(huì)導(dǎo)致無需登錄就可進(jìn)入圖片管理器，可以任意上傳圖片)

注釋掉“/include/dialog/congig.php”中的以下代碼：

if($cuserLogin->getUserID()<=0)
{
if(empty($adminDirHand))
{
ShowMsg("<b>提示：需輸入后臺(tái)管理目錄才能登錄</b><br/><form>請(qǐng)輸入后臺(tái)管理目錄名：<inputtype='hidden'name='gotopage'value='".urlencode($dedeNowurl)."'/><inputtype='text'name='adminDirHand'value='mgr'style='width:120px;'/><inputstyle='width:80px;'type='submit'name='sbt'value='轉(zhuǎn)入登錄'/></form>","javascript:;");
exit();
}
$gurl="../../{$adminDirHand}/login.php?gotopage=".urlencode($dedeNowurl);
echo"<scriptlanguage='javascript'>location='$gurl';</script>";
exit();
}
}

但我們知道這種方法是肯定不可取的,鄙視那些不懂的亂發(fā)技術(shù)教程

亂發(fā)就算了,也不注明下原理和后果,這么大缺陷的方法干脆就不要發(fā)了,害人啊

最后給出正確方法:

將上面那段代碼修改成

if($cuserLogin->getUserID()<=0)
{
if(empty($adminDirHand))
{
ShowMsg("<b>登陸失效，轉(zhuǎn)向主頁(yè)</b><br/>",$cfg_basehost);
exit();
}
$gurl="../../{$adminDirHand}/login.php?gotopage=".urlencode($dedeNowurl);
echo"<scriptlanguage='javascript'>location='$gurl';</script>";
exit();
}
}

希望對(duì)同樣突發(fā)此類問題的童鞋們有幫助哈！

有問題底下留言,OK

感嘆下今天天氣真熱!