偶然間發現我的一個織夢dedecms網站會員發布圖片時需要"輸入后臺管理目錄",這不是為難普通會員嗎!

這也無形中給惡意用戶爆破后臺的機會

在百度搜了一個,這個問題不常見

匯總了一下出現類似的情況有三種:

1.dedecms在會員中心上傳圖片的時候，會有“提示：需輸入后臺管理目錄才能登錄”

2.dedeCMS上傳附件提示＂需輸入后臺管理目錄才能登錄＂的解決辦法

3.后臺上傳圖片時，出現：“提示：提示：需輸入后臺管理目錄才能登錄 ”，接著一個input框，讓“請輸入后臺管理目錄名”

網上普遍給出的一個方法是:

(這個方法是去除了會員身份驗證,會導致無需登錄就可進入圖片管理器，可以任意上傳圖片)

注釋掉“/include/dialog/congig.php”中的以下代碼：

if($cuserLogin->getUserID()<=0)
{
if(empty($adminDirHand))
{
ShowMsg("<b>提示：需輸入后臺管理目錄才能登錄</b><br/><form>請輸入后臺管理目錄名：<inputtype='hidden'name='gotopage'value='".urlencode($dedeNowurl)."'/><inputtype='text'name='adminDirHand'value='mgr'style='width:120px;'/><inputstyle='width:80px;'type='submit'name='sbt'value='轉入登錄'/></form>","javascript:;");
exit();
}
$gurl="../../{$adminDirHand}/login.php?gotopage=".urlencode($dedeNowurl);
echo"<scriptlanguage='javascript'>location='$gurl';</script>";
exit();
}
}

但我們知道這種方法是肯定不可取的,鄙視那些不懂的亂發技術教程

亂發就算了,也不注明下原理和后果,這么大缺陷的方法干脆就不要發了,害人啊

最后給出正確方法:

將上面那段代碼修改成

if($cuserLogin->getUserID()<=0)
{
if(empty($adminDirHand))
{
ShowMsg("<b>登陸失效，轉向主頁</b><br/>",$cfg_basehost);
exit();
}
$gurl="../../{$adminDirHand}/login.php?gotopage=".urlencode($dedeNowurl);
echo"<scriptlanguage='javascript'>location='$gurl';</script>";
exit();
}
}

希望對同樣突發此類問題的童鞋們有幫助哈！

有問題底下留言,OK

感嘆下今天天氣真熱!