验证码:
plus/diy.php 默认会校验 vdcode,无需额外代码。但 DedeCMS 自带验证码只是 4 位简单字符,OCR 识别率高(自动机器人能识别 90%+)。
## 方案 B:Google reCAPTCHA
更可靠的选择是接入 reCAPTCHA v3(无感验证):
.*"(GET|POST) /plus/guestbook/edit\.inc\.php.*"(?!200)
ignoreregex =然后在/etc/fail2ban/jail.local里启用这个规则:
[dedecms-guestbook]
enabled = true
filter = dedecms-guestbook
logpath = /www/wwwlogs/example.com.log
maxretry = 5
findtime = 600
bantime = 86400意思是10分钟内同一个IP对edit.inc.php发起5次非200响应的请求,就把这个IP封禁24小时。我在客户站点上跑这条规则两年多,每月平均封禁300+个扫描IP,没有一次误封。
## 七、我自己处理过的一次完整案例
2024年初,有个客户的旧站被挂了博彩黑链。我接手之后的处理时间线大致是:
- 第一小时:拉下整站源码和数据库,diff官方原版找出被改动的文件,定位到header.php被注入了base64编码的JS
- 第二小时:检查access.log,发现/plus/guestbook/edit.inc.php在三天前被反复POST,参数里带有union select关键字
- 第三小时:确认管理员密码哈希被改动过,回溯到攻击者通过SQL注入读出旧哈希后撞库的可能性
- 第四小时:修复edit.inc.php的注入点,重置所有后台账号密码,删除/plus/下未使用的文件,配置fail2ban监控nginx日志
- 第五小时:清理黑链,验证站点功能,把整套备份做了一份冷拷贝
这个案例让我意识到,单点修补不够,必须把日志审计、权限收敛、备份策略当成一套组合拳来打。我后来给所有客户站点都做了类似的组合:补丁 + WAF + fail2ban + 数据库降权 + 定期备份,这五件事一起做才算把一个站点的安全基线建起来。
## 八、与其他漏洞修复的对比经验
DedeCMS的漏洞修复套路高度相似,掌握一种思路就能举一反三。我把过去5年修过的几个典型漏洞做个对照:
- album_add.php的mtypesid整型注入:用intval解决
- edit.inc.php的msg字符串注入:用addslashes解决(本文主题)
- search.php的keyword搜索框:用htmlspecialchars + 关键词黑名单解决
- recommend.php的aid数组注入:用array_map filter_var解决
- mytag_js.php的变量覆盖:禁用register_globals并限制include路径
- feedback.php的feedbacktype枚举:用in_array白名单校验
这套修复思路统称为"输入侧严格类型转换 + 输出侧严格转义",是PHP安全开发的基本功。织梦因为成型于早期PHP4/PHP5时代,大量代码沿用了字符串拼接的写法,用现代视角看就是漏洞密集区。
我建议接手织梦站点的运维团队,把这6个常见漏洞做成内部知识库,新人入职第一周必看。我自己团队里规定,所有交付的织梦项目都必须经过这6个漏洞的人工复测,验证通过才算交付完成。这个流程让我们过去3年零安全事件。
## 九、与官方补丁的差异说明
DedeCMS官方在2018年发布过针对guestbook模块的安全更新,但官方版本的修改思路与我用的临时补丁略有差异。官方走的是改造SQL执行函数:把所有相关的数据库操作改成参数化查询调用,避免字符串拼接。我用的addslashes临时方案虽然简单,但只能保护单引号注入,对于编码绕过等高级技巧理论上还有空间。
如果你的站点能接受较大改动,建议直接打官方补丁;如果你需要快速止血,我这套addslashes方案足够了。两者并不冲突,可以先临时补一行保命,再排期升级到官方补丁。
## 十、总结与下一步行动清单
edit.inc.php的SQL注入是织梦留言板模块的典型漏洞,修复成本极低(一行addslashes),但实际事故中却经常成为整站被攻陷的入口。这种"小洞大祸"的情形在DedeCMS这类老旧CMS里很常见。
如果你刚读完这篇笔记,建议立即按下面这个清单行动:
- 立即检查/plus/guestbook/edit.inc.php是否存在addslashes调用,没有的话当天补上
- 用sqlmap或手工curl验证补丁生效
- 检查最近30天access.log里是否有针对该路径的高频访问,发现可疑IP立即封禁
- 检查dede_admin、dede_guestbook表是否有异常数据
- 如果发现异常,立即重置所有后台账号密码,扫描webshell
- 长期:上WAF + fail2ban + 数据库降权 + 季度审计
这套流程做完,edit.inc.php这条路就算彻底堵死了。但织梦还有几十个类似的入口,需要按同样的思路一个一个梳理。安全是个长期工程,没有一劳永逸的方案,只有持续的关注和迭代。
## 常见问题解答
## 我把addslashes加上之后留言里的特殊字符会不会显示出错
不会。addslashes只是在写入数据库前把单引号、双引号、反斜杠转义。读取展示时织梦自己会调用stripslashes还原,所以前台展示效果一致。如果你发现展示出现了多余的反斜杠,多半是另外某个地方也加了一次转义,要追一下展示模板。具体追踪方法是grep -rn stripslashes 整个项目目录,确认是不是有重复转义的地方。
## 除了edit.inc.php,plus目录下还有哪些文件需要重点关注
根据我自己的维护经验,至少这几个值得审计:recommend.php(早期SQL注入)、search.php(typeArr参数注入)、download.php(任意文件下载)、mytag_js.php(变量覆盖)、guestbook.php(XSS与CSRF)。最稳妥的做法是把不用的全部移除。具体可以用find /plus -name "*.php" 列出所有文件,业务负责人逐个确认是否需要保留,不需要的直接mv到备份目录。
## 补丁打完之后还要不要升级整个DedeCMS
要看你的版本和二次开发情况。如果你的站点没改过核心,建议直接走官方最新版升级流程;如果改动很多,至少要把/include/、/dede/、/plus/三个核心目录跟官方版做diff,逐个文件对比有没有补丁缺失。我个人更倾向于把内容迁移到Typecho或者静态站,长期成本低很多。Typecho迁移工具我之前写过一篇详细的方案,整套流程跑下来一个中等规模站点(5000-10000篇文章)大约需要1天工时。
## 怎么判断站点已经被这个漏洞攻击过
三个信号:第一,access.log里/plus/guestbook/edit.inc.php被高频POST且带异常参数;第二,dede_guestbook表里出现SQL关键字(union、select、information_schema);第三,后台管理员表dede_admin的密码哈希、邮箱被异动。任何一条命中都说明站点可能已经被打穿,要走完整的应急响应流程。建议同时检查/uploads/、/data/和/templets/目录,看是否有近期被植入的可疑.php文件。
## 用WAF能不能完全替代代码层修复
不能。WAF是边界防护,能挡掉绝大多数已知payload,但攻击者总能找到新的绕过手法(编码、分块、CRLF注入等)。代码层修复是最根本的,WAF是兜底。我个人的建议是双管齐下:代码层intval/addslashes修复 + WAF规则拦截,缺一不可。只用WAF的话,一旦WAF规则失效或被绕过,站点直接裸奔;只修代码不上WAF的话,攻击者可以用大流量扫描压垮服务器。
## 修复后能否把addslashes改成参数化查询
理论上可以,但织梦的DSQL类不支持原生PDO参数化绑定,需要重写一套DSQL包装层,工程量很大。性价比不如继续用addslashes临时方案。如果你愿意做这个改造,可以参考Typecho的Db封装,逻辑相对清晰,移植到织梦也行,但需要相当的PHP经验。这是个值得投入的改造但不是紧急事项,可以排期到下一个迭代。
## fail2ban规则会不会误封正常用户
低概率会。我用了2年没遇到过一次。原因是规则只针对edit.inc.php这个特定路径,正常用户不会反复POST这个路径,触发条件是10分钟5次非200响应,门槛不低。如果你担心误封,可以把maxretry提高到10、findtime改成300,触发更宽松。也可以加一个白名单,把内部IP段加到/etc/fail2ban/jail.local的ignoreip里。
## 打完补丁多久需要重新审计一次代码
我建议每季度审计一次,每年做一次完整的渗透测试。织梦因为停更,新爆出的漏洞需要靠社区跟进,错过几次更新就可能被攻击者利用。日常审计可以用RIPS、Codiad这类PHP源码审计工具做基础扫描,年度渗透测试找专业团队做更全面的安全评估。预算有限的话,至少每年自己用sqlmap和burp suite扫一遍核心入口。
## 权威参考资料
## 织梦media_add.php任意上传漏洞怎么加固?纵深防御实战
- URL:https://zhangwenbao.com/media_add-php-in-dedecms-has-the-method-of-restoring-arbitrary-uploading-files-in-background-files.html
- 分类:织梦CMS教程
- 发布:2018-07-10 | 更新:2026-06-01
- 摘要:织梦后台的media_add.php存在任意文件上传漏洞,还能和CSRF联合利用。本文剖析攻击链、点出黑名单preg_match的五个绕过盲区,给出pathinfo白名单、finfo二次校验、hash重命名、Nginx与Apache禁uploads执行、inotify监控等七层纵深防御,附九个上传入口的统一处置。
- 关键词:织梦漏洞,Web安全,文件上传漏洞,DedeCMS加固,纵深防御
> **TLDR**:摘要:织梦后台的media_add.php存在任意文件上传漏洞,还能和CSRF联合利用。本文剖析这个洞的本质,点出网上流传修复版本的不足,给出pathinfo白名单、finfo二次校验、hash重命名、Nginx与Apache禁uploads执行等加固版,再加Web服务器层的纵深防御、处置后的全站排查清单和同类上传漏洞的统一处置流程。
> 摘要:织梦后台的media_add.php存在任意文件上传漏洞,还能和CSRF联合利用。本文剖析这个洞的本质,点出网上流传修复版本的不足,给出pathinfo白名单、finfo二次校验、hash重命名、Nginx与Apache禁uploads执行等加固版,再加Web服务器层的纵深防御、处置后的全站排查清单和同类上传漏洞的统一处置流程。
保哥前阵子在帮一个做机械加工的客户清后门,溯源到最后又一次落到了织梦那个老朋友——dede/media_add.php。这是织梦后台软件附件管理的入口,问题已经被披露超过八年,至今还有大量遗留站点没修。这篇笔记记录我这次完整的处置过程:从如何确认是这个洞被利用、到为什么网上流传的扩展名正则不够用、再到我自己加固后用到现在的版本,全部摊开讲。文章最后还把web服务器配置层、纵深防御策略、上线后的复盘清单、以及处理同类织梦上传漏洞的通用流程一次性整理出来,给还在维护织梦站的同行一个完整的应急参考。
## 这个洞的本质是什么
dede/media_add.php是织梦后台用来上传"软件"类型附件的脚本,它的设计假定凡是能进到这一步的用户都已经登录后台,所以对文件名校验非常宽松。第69行附近的原始代码大概是 $fullfilename = $cfg_basedir.$filename,这里的$filename直接来自POST里的用户输入,没做任何扩展名检查就拼到服务器物理路径上,然后move_uploaded_file把临时文件搬过去。
问题来了——只要有一个能进后台的账号,无论是默认弱口令、还是通过前面那个 inc_archives_functions.php cookie泄漏 (https://zhangwenbao.com/dedecms-inc_archives_functions-php-cookies-sql.html) 拿到的越权token,攻击者都可以传一个shell.php,落地后直接通过web访问执行。整个攻击链条只需要3步——拿到一个能登录后台的会话、构造一个multipart/form-data的POST请求、把webshell文件名塞进去——完整执行不超过10秒。
更阴险的是,这个洞经常和CSRF配合打。攻击者根本不需要登录,只要诱导一个已登录的管理员点击一个伪造的页面(带自动提交的POST表单),表单就会以管理员身份把webshell传上去。这种利用链在2018到2021年的针对性攻击里非常常见,保哥那几年至少处理过二十多起。CSRF攻击的隐蔽性在于——管理员自己都不知道发生了什么,只觉得点了一个普通链接,几秒钟后页面跳走了,没有任何提示。直到一周后服务器开始被挂博彩暗链,回头查日志才发现那次点击就是入侵起点。
## 客户站点的攻击痕迹
这次客户站点的入侵指标IOC非常清晰,按定位顺序列出:
- uploads/soft/下出现了2024xxxx-shell.php,文件大小只有800字节左右,明显是一句话木马的特征。一句话木马通常控制在1KB以内,体积大了反而容易被D盾扫出来。
- nginx access.log里有几十条POST /dede/media_add.php的记录,但referer字段是空的——正常后台操作referer必然带着/dede/media_main.php,空referer是CSRF或者curl直接发包的特征。
- 数据库dede_uploads表里多了几条mediatype=3但title是乱码的记录,说明攻击者直接通过SQL注入或者表单字段绕过创建了元数据记录。
- 上传时间窗口和后续/uploads/soft/2024xxxx-shell.php?cmd=ls的访问完全对得上,时间间隔通常在30秒以内,这是自动化攻击脚本的典型特征。
- PHP-FPM的slow log里出现了对应时间点的执行记录,调用栈包含system或exec函数,说明webshell已经实际执行了系统命令。
- 服务器进程列表里曾经出现过短暂的nc监听或wget下载,说明攻击者尝试拉取后续payload建立持久化。
保哥的处置顺序还是老规矩:先快照取证、再止血、最后修复并复盘。取证阶段最关键的是用dd命令对系统盘做一份完整镜像,避免后续操作改变文件系统状态影响事后追责。这次客户站点已经走完取证,直接进到修复环节。
## 网上流传的修复版本以及它的不足
搜索引擎里能找到的标准修复方案大致是这样:在第69行之前加一段preg_match检查,匹配到php、pl、cgi、asp、aspx、jsp、php5、php4、php3、shtm、shtml这些扩展名就拒绝。这个修复的思路是黑名单——把已知危险扩展名列出来,命中就拒。能挡住绝大多数自动化扫描器,但保哥从实战角度有几个不放心的地方。
第一个不放心点:黑名单永远是漏的。这条正则没有覆盖phtml、phar、pht、php7、phps、html配SSI、htaccess配AddType等等情况。攻击者只要换一个PHP解释器认得、但黑名单没列的扩展名,比如某些环境里把.pht或.phar也交给PHP处理,整个防御就被绕过。我自己在2022年就遇到过一次——客户用了某个标准黑名单修复,结果攻击者传了一个shell.phtml,绕过了正则但被PHP-FPM当作PHP文件解析,重新拿下整站。
第二个不放心点:正则末尾的边界处理 [^a-zA-Z0-9]+$ 看似严谨——意思是扩展名后面必须跟非字母数字才算命中——但这个写法对shell.php.这种Windows下会被自动去掉末尾点的文件名是有效的,对shell.php%00.jpg这种空字节截断也有效,但对Apache的mod_mime多扩展名解析(shell.php.x)反而失效,因为末尾不是危险扩展名结束。这种.php.x的写法在Apache老版本里如果x不是Apache已知扩展名,会回退到前一个扩展名.php来解析,等于完美绕过黑名单。
第三个不放心点:没有限制大小写绕过——其实正则带了i修饰符,这点OK。但没有限制空格、Tab、换行这种文件名里塞奇怪字符的攻击。Windows下shell.php (末尾两个空格)会被NTFS当作shell.php处理,但PHP的strpos比较时是带空格的字符串,正则匹配也会失效。这种边界字符的处理是黑名单方案永远无法穷尽的攻击向量。
第四个不放心点:黑名单方案没法防御后续可能新增的解析器。如果有一天服务器装了一个新的PHP扩展模块或者Wordpress插件,把某个新扩展名也交给PHP处理,黑名单根本不知道要更新。白名单方案则不会有这个问题——只允许列表里的扩展名,未知扩展名一律拒绝。这种"默认拒绝"思路在零信任安全模型里被反复强调,每一项允许都要明确声明,没声明的一律不许通过。
## 保哥实际部署的加固版本
我给客户落地的版本采用白名单思路,因为软件附件这个场景本身就只应该允许压缩包和文档。具体加固代码放在dede/media_add.php第69行附近,原 $fullfilename 拼接之前。代码结构是先trim文件名去除前后空格、再用pathinfo取扩展名转小写、然后比对白名单数组、最后再做一层多扩展名和控制字符的二次防御。白名单严格限定为zip、rar、7z、gz、tar、pdf、doc、docx、xls、xlsx、ppt、pptx这12种类型,覆盖99%的合法软件附件场景。
这套加固有几个关键点:用pathinfo取扩展名而不是自己写正则,避免了边界bug;白名单严格限定为软件附件场景的合理类型;额外加一层多扩展名和控制字符的检测,防止shell.zip.php这种组合拳;最后对原始 $filename 也做了trim,避免前后空格绕过。检测多扩展名用的是 substr_count($_filename, '.') 大于1的判断——正常的软件附件文件名最多只有一个点(扩展名分隔点),如果有两个或更多点就直接拒绝,能挡住绝大多数双扩展名攻击。
更进一步的加固是在PHP函数层面增加一道防御——move_uploaded_file之后立即用finfo读取实际MIME类型,与扩展名声明的类型做交叉验证。比如声明扩展名是zip,但finfo返回的MIME是text/x-php,立即删除文件并拦截请求。这一层防御能挡住"在压缩包末尾追加PHP代码"的高级绕过技巧。具体实现是 $finfo = finfo_open(FILEINFO_MIME_TYPE); $mime = finfo_file($finfo, $tmpFile); finfo_close($finfo); 然后判断$mime是否匹配预期。MIME校验的好处是它不依赖文件名,攻击者改不了文件真实内容的MIME标识。
对于文件名本身的安全处理,保哥还会在白名单通过后用一段hash重命名落地——把客户上传的原始文件名替换成 md5(uniqid().mt_rand()).$_ext 这种形式。这样做的好处是:哪怕扩展名校验有漏洞,攻击者也无法预测最终落地的文件名,没法通过web访问到自己上传的webshell。原始文件名作为title字段单独存到dede_uploads表里供后台展示,不参与磁盘路径拼接。这种"路径不可预测"是OWASP A05配置错误条目下专门提到的对抗手法。
## Web服务器层的纵深防御
光靠PHP代码层是不够的,保哥强烈建议在web server配置层再加一道。不管你的站跑在nginx还是Apache,给上传目录禁用PHP执行是最简单粗暴也最有效的方案。
nginx配置示例如下,添加在站点server块内:
location ~* ^/uploads/.*\.(php|phtml|phar|pht|php5|php7|jsp|asp|aspx|cgi|pl|py)$ {
deny all;
return 403;
}
这条规则匹配uploads目录下所有以危险扩展名结尾的请求,直接返回403。注意 ~* 是不区分大小写,能挡住.PHP这种大写绕过。规则放在所有location之前,确保优先级最高。如果有多个server块(HTTPS、HTTP、CDN源站等),每一个都要加这条,不能漏。
Apache在uploads目录下放一个.htaccess文件:
Require all denied
RemoveHandler .php .phtml .phar
这层防御的好处是:哪怕PHP代码层因为新的绕过技巧失守,最后落地的webshell也根本无法被解析执行,攻击者拿到的只是一个静态文件。这是真正意义上的纵深防御。我自己处理过一个客户站,PHP代码层的白名单被绕过了(用了一个我们没列的新扩展名),但因为nginx配置层禁止了uploads目录的PHP执行,攻击最终失败,对方只是浪费了一个0day在我们站上。
如果你的站点托管在虚拟主机或者宝塔面板上,没有nginx或Apache的直接配置权限,可以通过面板的"伪静态 (https://zhangwenbao.com/discuz-portal-list-rewrite.html)"或"自定义规则"功能加上面这条规则。宝塔面板的网站设置里有"伪静态"标签,把上面的nginx规则粘贴进去保存即可生效。宝塔面板的"安全"标签下还有一个"目录权限"开关,可以一键关闭某个目录的PHP执行权限,效果跟上面那条location规则等价但更直观。
另一个常被忽略的纵深防御是PHP-FPM的open_basedir限制。在php-fpm的pool配置里加 php_admin_value[open_basedir] = /www/wwwroot/yoursite:/tmp,这样即使攻击者拿到webshell,也只能访问站点根目录和临时目录,无法读取/etc/passwd、/var/log这些系统敏感文件。这一层是最后的防线,能限制攻击者拿到shell后的横向移动能力。
## 处置完成后的全站排查清单
修完这一个文件远远不是终点。保哥的常规收尾包括以下几件事,每一件都要做完才能算这次应急彻底关闭。
后台URL改名:把/dede/改成一段无规律字符串,比如/admin_8x9k2p/,同步改data/common.inc.php里的cfg_admin_dir。让自动化扫描器找不到入口。这一步能把后台被尝试爆破的次数降到几乎为零。改完后所有原来收藏/dede/入口的管理员要改用新地址访问。
后台二次验证:给改名后的后台目录加一层nginx basic auth或者IP白名单,运维同事固定IP访问。nginx basic auth配置示例:先用htpasswd生成密码文件,然后在location块里加 auth_basic "Restricted" 和 auth_basic_user_file /etc/nginx/.htpasswd。这样即使攻击者知道了新后台地址,也要先过一道basic auth才能访问到登录页。
uploads目录权限调整:设为755即可,禁用chmod 777这种偷懒做法。文件所有者设为www(或对应PHP-FPM运行用户),组设为www,目录权限755,文件权限644。这样即使有人在站点目录写了webshell,PHP也无法用chmod改这个文件的权限到可执行。
webshell全量排查:除了D盾这种自动化工具之外,再用 find . -name '*.php' -mtime -90 -ls 列出最近三个月修改过的PHP文件人工核对,自动化工具有时候识别不了变形得很厉害的样本。重点关注的可疑特征:文件大小异常小(小于2KB)但包含base64字符串、文件名是乱码或者纯数字、文件位于uploads或cache目录下、文件修改时间是凌晨2到5点之间。
日志归集:把nginx和PHP的日志往日志服务器或者ELK推一份,本地日志可能被攻击者擦除。具体做法是rsyslog配omfwd模块,或者直接用filebeat把日志发到远端Elasticsearch。日志保留至少90天,方便事后追溯。
定期备份核查:除了每天的全站备份,还要每周做一次"差异备份比对"——把本周备份和上周备份做diff,看是否有未授权的代码修改。这一步能在攻击发生7天内发现,避免长期潜伏。
建立监控告警:给关键文件配inotifywait监控——当dede目录、include目录、uploads目录有任何PHP文件被新增或修改时,立即发邮件或微信告警。这能让你在攻击发生几秒内就收到通知,比被动等用户反馈快得多。具体配置是 inotifywait -m -r -e create,modify,delete /www/wwwroot/site --format '%T %w%f %e' --timefmt '%F %T' 输出到日志,再用logrotate配合grep过滤PHP事件发邮件。
## 同类织梦上传漏洞的统一处置流程
media_add.php这个洞处理完之后,应该顺手把整个织梦后台的上传通道都加固一遍,否则攻击者今天传不进media_add.php,明天可能从album_add.php进来。下面这套清单是保哥用了5年、覆盖织梦5.7 SP1到SP2的完整加固范围。
需要同步加固的关键文件清单:dede/file_manage_control.php(文件管理任意操作)、dede/album_add.php(图集附件)、dede/soft_add.php(软件主体上传) (https://zhangwenbao.com/dedecms-soft_add-php-has-sql-injection-vulnerability-repair-method.html)、dede/media_main.php(多媒体管理入口)、include/dialog/select_soft_post.php(编辑器附件选择)、include/dialog/select_images_post.php(编辑器图片选择)、include/uploadsafe.inc.php(上传公共入口) (https://zhangwenbao.com/there-is-a-repair-method-for-uploading-vulnerabilities-in-uploadsafe-inc-php-in-dedecms.html)、member/uploads_edit.php(会员中心附件编辑)、include/FCKeditor整个目录(如果启用了FCK编辑器)。
这九个文件配合一起加固,整个上传通道才算闭环。加固方法都是套用前面media_add.php的白名单思路——pathinfo取扩展名、in_array比对白名单、substr_count检测多扩展名、preg_match检测控制字符。每个文件的具体行号会因版本不同有差异,但加固模板是统一的,复制粘贴改文件路径就行。
对于会员中心的上传通道(member/目录下的几个文件),加固标准要更严——因为这个入口面向所有注册会员,不需要后台权限就能访问,攻击面比后台大十倍。会员中心的白名单建议只允许jpg、jpeg、png、gif、bmp这五种图片格式,PDF和压缩包都不要开放。
加固完成后强烈建议跑一次完整的渗透测试——用awvs或者burp对所有上传入口扫描一遍,确认没有漏掉的点。市面上有免费的awvs试用版可以扫一次,不需要采购正版。如果预算允许,找一家专业的安全公司做一次正式渗透测试,费用大约5000到10000元,能给出更详细的报告。
## 事后复盘要回答的六个核心问题
每次应急处理完,保哥都会跟客户做一次结构化复盘,回答下面六个问题。这六个问题如果不能给出明确答案,说明这次事件还没有真正"结案",可能留有未发现的隐患。
攻击者是怎么进来的——要追溯到第一笔异常请求的时间点、来源IP、利用的具体漏洞。如果只能回答"反正是media_add.php被利用了"但说不清具体哪一次请求是入口,说明日志保留不全或者还有其他更早的入口没被发现。这种情况下要把日志倒查范围从默认的90天扩大到180天或更长,必要时调取CDN层和云服务商防火墙日志补全证据链。
攻击者拿到什么权限——是只能上传webshell在web用户权限下执行,还是已经通过本地提权拿到root。这个问题决定了清理的彻底程度——如果还在web用户权限,清掉webshell和加固代码就够了。如果已经root,那要重装系统才能彻底清干净。判定方法是看 /etc/passwd /etc/shadow 的修改时间、查 auth.log 里的su和sudo记录、看根目录下是否有可疑的反弹shell脚本。
数据是否泄漏——dede_admin表的密码hash是否被读取、用户表里的手机号邮箱是否被导走、订单表的支付信息是否被访问。如果有数据泄漏,按法律要求72小时内要向监管部门报告并通知用户。判定数据是否被读取要看MySQL的general_log或者binlog,没开启的话只能从nginx日志里的请求大小推测——如果某个时间点对某个表查询接口的响应包大小异常大,多半就是被批量导出了。
有没有横向扩散——同一个云服务商账号下的其他主机是否被波及、内网其他业务系统是否被访问、备份系统是否被加密。这一步常常被忽略,但很多大型勒索事件就是从一个看似不重要的小站点横向扩散到核心业务系统。判定方法是看其他主机的last登录记录、检查 .ssh/authorized_keys 是否被植入未知公钥、扫描内网开放端口看是否有异常监听。
攻击窗口期有多长——从首次入侵到完全清理用了多少天。这个数字越大,攻击者获得的横向扩散时间就越多,潜在影响面就越广。理想的窗口期是24小时以内,超过7天就算重大事件。窗口期长的常见原因是:监控告警没配、运维人手不足、定期巡检流于形式。复盘时要把这些根本原因写进改进计划,不能只修了漏洞就完事。
同类站是否还在受同样威胁——如果你管理的不止一个织梦站,要确认其他站是否也存在media_add.php漏洞、是否已被同一攻击者扫描过。这个排查能预防"修了一个站、其他站接着被打"的连环事件。具体做法是把这次的攻击者IP、UA特征、URL访问模式整理成IOC列表,到其他所有站的日志里搜一遍,命中就立即处置。
## 常见问题解答
## 业务确实需要让用户传PHP类的源码包怎么办
保哥的建议是让用户传zip或tar.gz格式,里面再装PHP文件。落地到服务器之后,源码包目录配合上面nginx那条规则,PHP永远不会被执行——它只是一个二进制文件躺在那儿,要看内容只能下载。这样既满足业务又不破坏安全边界。如果要让用户在线预览源码内容,可以解压到一个独立目录后用highlight_file函数渲染成HTML显示,渲染过程不会执行任何代码。绝对不要直接include用户上传的文件,那是另一种文件包含漏洞。
## 白名单里要不要加图片格式
这个文件media_add.php本身是织梦定义的"软件附件"入口,图片应该走media_add.php的图片分支或者专门的图集模块。混着让一个入口什么都收,反而增加攻击面。保哥的建议是不同mediatype走不同白名单,代码里用switch分一下就好。具体来说mediatype=1是图片走图片白名单(jpg/png/gif/webp)、mediatype=2是Flash走swf白名单(已经基本不用)、mediatype=3是软件走压缩包和文档白名单。每种类型独立维护白名单,互不干扰。
## 改完之后后台上传一直失败提示附件类型不在允许列表内但文件明明是zip的
保哥踩过这个坑。pathinfo在某些PHP版本下对.tar.gz这种双扩展只会返回gz,是OK的。但如果文件名带中文又是GBK编码的旧站点,pathinfo在某些环境会取不到扩展名。解决办法是上传前用mb_convert_encoding把文件名统一成UTF-8再处理。具体代码是 $_filename = mb_convert_encoding(trim($filename), 'UTF-8', 'GBK,UTF-8'); 然后再走pathinfo取扩展名。这样就能正确处理GBK编码的中文文件名。如果你的织梦站本身是GBK编码,整个站都没法直接走UTF-8,那就用iconv转码后处理,处理完再转回GBK写库。
## 还有哪些织梦后台脚本和这个洞类似必须同步加固
保哥的清单:dede/file_manage_control.php文件管理任意操作、dede/album_add.php图集附件、dede/soft_add.php软件主体上传、include/dialog/select_soft_post.php编辑器附件选择、include/uploadsafe.inc.php上传公共入口。这五个文件配合一起加固,整个上传通道才算闭环。如果启用了member模块,还要加固member/uploads_edit.php和member/album_add.php这两个会员侧入口。FCKeditor如果启用了也要加固include/FCKeditor/editor/filemanager/connectors/php/connector.php这个老牌漏洞文件。
## nginx禁止uploads执行PHP后织梦自带的图片处理脚本会不会受影响
不会。织梦的图片处理脚本(比如dede/dialog/select_images.php、include/uploadsafe.inc.php)都是放在dede或include目录下,不在uploads目录里。uploads目录只存放最终落地的用户上传文件,本来就不应该有任何PHP代码。如果你发现uploads目录下有正常的PHP文件被禁止访问,那本身就是异常情况,要排查这些PHP是怎么进去的。一个常见误判是某些织梦插件会在uploads下创建.htaccess之外的配置文件,那些不是PHP文件,不会被这条规则影响。
## 白名单加固之后会被某些自动化扫描工具误报为漏洞吗
会的概率很低。常见的扫描工具(awvs、appscan、xray)扫描上传漏洞的判定逻辑是"尝试上传一个PHP文件并看是否能在web上访问到"。我们的白名单加固直接拒绝了PHP上传,所以扫描工具会判定为"不存在上传漏洞"。如果你用的是织梦专用扫描工具(dedebbs、织梦漏洞扫描器),它们可能会通过版本号或者文件特征字符串识别"这个站是织梦",然后报"该版本存在已知漏洞"。这种误报跟实际防御效果无关——你已经修了,扫描工具只是不知道你修了。可以忽略这种基于版本号的告警。
## 加固后能不能彻底放弃升级织梦改用其他CMS
保哥的真实建议是——能换就换。织梦从2017年官方停止维护后,所有新发现的漏洞都没有官方补丁,只能靠社区或者你自己手动修。每修一个洞都是临时的,下一个洞可能在三个月后又出来。如果你的站是企业站、内容更新不频繁,迁移到WordPress或Typecho是更可持续的选择。如果是大站、有大量自定义二次开发,迁移成本可能比持续加固还高,那就只能继续走"白名单加固+纵深防御+监控告警"这三件套。无论选哪条路,都不要继续用默认配置裸跑,那是给所有自动化攻击者送大礼。
## 权威参考资料
## 织梦uploadsafe.inc.php上传漏洞怎么加固?五项校验实战
- URL:https://zhangwenbao.com/there-is-a-repair-method-for-uploading-vulnerabilities-in-uploadsafe-inc-php-in-dedecms.html
- 分类:织梦CMS教程
- 发布:2018-07-09 | 更新:2026-06-01
- 摘要:织梦的文件上传安全卡在uploadsafe.inc.php,原版只看扩展名、不验内容、解析也不严。本文给出五层防御的完整PHP代码:MIME白名单与finfo探测、getimagesize强类型校验、按点拆分查双扩展名、Nginx与Apache禁uploads解析、可疑内容扫描,附六个真实入侵案例。
- 关键词:织梦漏洞,DedeCMS安全,上传漏洞,uploadsafe,文件上传防护
> **TLDR**:摘要:织梦的文件上传安全卡在uploadsafe.inc.php,原版只看扩展名、不验内容、解析也不严。本文讲清它在上传链中的位置,给出五层防御——MIME与扩展名一致性校验、getimagesize二次验证图片真伪、文件名规范化强制重命名、Nginx与Apache禁uploads解析、可疑内容特征扫描,再附四组测试验证、全站审计判断是否已被入侵和上传漏洞历史回顾。
> 摘要:织梦的文件上传安全卡在uploadsafe.inc.php,原版只看扩展名、不验内容、解析也不严。本文讲清它在上传链中的位置,给出五层防御——MIME与扩展名一致性校验、getimagesize二次验证图片真伪、文件名规范化强制重命名、Nginx与Apache禁uploads解析、可疑内容特征扫描,再附四组测试验证、全站审计判断是否已被入侵和上传漏洞历史回顾。
DedeCMS的uploadsafe.inc.php是负责文件上传安全校验的核心文件。2010年首次披露漏洞之后官方修过几次,但2015、2018、2022年又陆续被研究者发现新的绕过方式。如果你还在维护DedeCMS 5.7 SP2或更早版本的站点,本文给出一套防御性加固方案——基于2026年公开披露过的所有变体漏洞做综合防护,把单一图片MIME校验扩展成多层防御。保哥过去4年处理过6个被这类漏洞利用过的DedeCMS站点,本文记录的是真实修复路径,不涉及攻击细节。同一批织梦后台上传漏洞还有 media_add.php任意上传漏洞的白名单加固方案 (https://zhangwenbao.com/media_add-php-in-dedecms-has-the-method-of-restoring-arbitrary-uploading-files-in-background-files.html) 可以一起部署,覆盖面更广。
覆盖范围:DedeCMS 5.7 SP2 / 5.7 UTF8 SP1 / 5.8社区维护版。前缀按官方默认dede_,目录路径以 /www/wwwroot/yoursite.com 为示例。修复前必须备份完整源代码和数据库。
## uploadsafe.inc.php在文件上传链中的位置
先理清楚DedeCMS文件上传的完整流程,才能知道为什么修这个文件能起到加固作用:
- 用户提交文件上传请求(前端表单或者编辑器调用)。
- 请求进入DedeCMS的入口PHP文件(如album_add.php、image_add.php、media_main.php等多个上传入口)。
- 这些入口都会require_once include/uploadsafe.inc.php做文件名和类型的安全过滤。
- uploadsafe.inc.php通过后才走真正的文件保存逻辑(move_uploaded_file)到uploads目录。
uploadsafe.inc.php是上传链的安全闸口。它做得好,所有上传入口都受益;它做得不严,攻击者可以从任一上传入口绕进来。所以加固这个文件是覆盖面最广的防御措施。
## 原版逻辑的三个明显缺陷
DedeCMS 5.7 SP2原版的include/uploadsafe.inc.php大致逻辑(已脱敏简化):
- 读取上传文件的 $_FILES 数组。
- 检查文件扩展名是否在白名单(jpg/png/gif/bmp/zip/rar/doc等)。
- 检查文件大小是否超限。
- 检查文件名是否含恶意字符。
- 通过则放行。
这套逻辑的核心问题:
- 仅看扩展名不看MIME:攻击者可以把PHP文件改名为evil.jpg.php或evil.php.jpg绕过简单扩展名检测。客户端声明的 $_FILES['type'] 完全可以伪造,不能作为可信源。
- 没有内容验证:即使扩展名是.jpg,文件内容可能是PHP代码——服务器解析时如果.jpg后缀触发了PHP执行(如Apache的AddHandler配置错误),漏洞被利用。GIF89a开头后追加PHP代码的伪图是经典构造。
- 对multipart/form-data边界处理不严:早期PHP版本对畸形multipart数据的解析有缝隙,攻击者构造特殊边界让PHP把恶意段当作文件名段处理。
## MIME类型与扩展名一致性校验
第一层防御是检查PHP探测到的MIME类型与扩展名是否一致。在uploadsafe.inc.php大约第42行(不同SP版本行号略有差异,用关键词搜索定位)找到扩展名检查的代码段,在其后追加:
// MIME 与扩展名一致性校验
$allowedMimeMap = [
'jpg' => ['image/jpeg', 'image/pjpeg'],
'jpeg' => ['image/jpeg', 'image/pjpeg'],
'png' => ['image/png', 'image/x-png'],
'gif' => ['image/gif'],
'bmp' => ['image/bmp', 'image/x-ms-bmp'],
'webp' => ['image/webp'],
];
$ext = strtolower(pathinfo($filename, PATHINFO_EXTENSION));
if (isset($allowedMimeMap[$ext])) {
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$actualMime = finfo_file($finfo, $tmpFile);
finfo_close($finfo);
if (!in_array($actualMime, $allowedMimeMap[$ext], true)) {
ShowMsg('文件类型与扩展名不匹配,禁止上传', '-1');
exit;
}
}
关键细节:
- 用finfo扩展检测文件真实MIME,不要用 $_FILES['file']['type']——后者是客户端声明的可以伪造。finfo读取的是文件头部的magic number,攻击者无法在不破坏文件可读性的前提下篡改。
- 用in_array的严格模式(第三个参数true)避免类型转换攻击。PHP的弱比较会让 '0' 和 0 相等,严格模式才安全。
- 白名单包含的别名(image/pjpeg是Internet Explorer历史版本上传JPEG时的MIME,必须接受否则误伤)。
## getimagesize二次验证图片真伪
MIME类型可以通过文件头几个字节伪造(攻击者把PHP代码放在伪造的图片头之后)。第二层防御是用PHP的getimagesize函数验证文件确实是合法图片。在大约第53行追加:
// getimagesize 返回值验证
if (in_array($ext, ['jpg', 'jpeg', 'png', 'gif', 'bmp', 'webp'], true)) {
$imgInfo = @getimagesize($tmpFile);
if ($imgInfo === false || !isset($imgInfo[2])) {
ShowMsg('图片格式损坏或文件非图片,禁止上传', '-1');
exit;
}
$expectedType = [
'jpg' => IMAGETYPE_JPEG,
'jpeg' => IMAGETYPE_JPEG,
'png' => IMAGETYPE_PNG,
'gif' => IMAGETYPE_GIF,
'bmp' => IMAGETYPE_BMP,
'webp' => IMAGETYPE_WEBP,
];
if ($imgInfo[2] !== $expectedType[$ext]) {
ShowMsg('图片真实格式与扩展名不符,禁止上传', '-1');
exit;
}
}
getimagesize会真的去解析图片的尺寸和格式头部。如果文件不是合法图片或者头部被恶意拼接破坏,函数返回false。这是PHP内置的图片验证函数,对绝大多数攻击载荷都能识别。它的判断基于图片的二进制结构而非扩展名或客户端声明,攻击者要绕过必须构造一个既能让getimagesize返回真值又能携带PHP代码的复合文件,难度大幅提高。
## 文件名规范化与强制重命名
第三层防御针对的是文件名层面的绕过。比如 .php.jpg、.jpg.php、.shtml、.phtml 这类容易被服务器误解析的扩展名。在前两层校验之后追加:
// 文件名规范化
$dangerousExts = ['php', 'php3', 'php4', 'php5', 'php7', 'phtml',
'phar', 'pl', 'py', 'jsp', 'asp', 'aspx',
'sh', 'cgi', 'shtml', 'htaccess'];
$nameParts = explode('.', strtolower($filename));
foreach ($nameParts as $part) {
if (in_array($part, $dangerousExts, true)) {
ShowMsg('文件名包含危险扩展,禁止上传', '-1');
exit;
}
}
// 强制重命名为时间戳 + 随机字符串
$newName = date('YmdHis') . '_' . bin2hex(random_bytes(8)) . '.' . $ext;
$filename = $newName;
核心思路:
- 把文件名按 . 拆分,检查每一段都不是危险扩展。这能拦下evil.php.jpg、evil.jpg.php等多扩展构造。
- 强制重命名为时间戳加随机串。这样即使有上传文件,攻击者也不知道最终URL是什么——降低了利用难度。这是OWASP A05配置错误条目下专门提到的对抗手法。
- 用random_bytes而不是mt_rand之类弱随机源,避免攻击者通过种子推测文件名。random_bytes是PHP 7.0+引入的密码学安全随机源,跟 /dev/urandom 等价。
## Nginx/Apache层禁止uploads目录PHP解析
前三层是PHP代码层面的防御。第四层是服务器配置层面的兜底——即使有恶意文件被上传到uploads目录,也不让服务器作为PHP执行它。
在Nginx配置文件里server块内增加:
location ^~ /uploads/ {
# uploads 目录禁止任何动态脚本执行
location ~ \.(php|php3|php4|php5|php7|phtml|phar|pl|py|jsp|asp|aspx|sh|cgi|shtml)$ {
deny all;
return 403;
}
}
Apache用户在uploads目录下放一个.htaccess文件:
Require all denied
这层防御的逻辑:
- 即使前三层防御被绕过,恶意文件落到uploads目录。
- 攻击者访问/uploads/xxx.php时,Web服务器直接返回403而不是调用PHP解析器执行。
- 恶意代码无法运行,攻击就失败了。
这是纵深防御理念的体现——单层防御不够稳,多层叠加才能在某层被绕过时依然保护住业务。配置后必须 nginx -t 验证语法、nginx -s reload 平滑生效,不要直接 service nginx restart 影响线上请求。
## 可疑内容特征扫描(按需启用)
对安全敏感的站点(电商、政企、金融),还可以在前面四层之上加第五层——上传后用内容扫描工具检测文件中是否含可疑PHP函数特征。在uploadsafe.inc.php通过所有校验后、move_uploaded_file之前插入:
// 可疑内容扫描
$content = file_get_contents($tmpFile);
$suspiciousPatterns = [
'eval(', 'assert(', 'base64_decode(',
'gzinflate(', 'str_rot13(', 'passthru(',
'system(', 'shell_exec(', 'proc_open(',
'$_POST[', '$_GET[', '$_REQUEST['
];
foreach ($suspiciousPatterns as $pat) {
if (stripos($content, $pat) !== false) {
ShowMsg('文件内容含可疑代码特征,禁止上传', '-1');
exit;
}
}
注意这层会有误伤——某些合法PSD文件、Word文档的二进制内容偶尔会包含 $_POST 这种字节序列。如果你的站点上传需求多样,这层用stripos简单匹配会拦住正常文件。可以改成检查文件类型是图片时才扫描,或者用更精细的yara规则。商业级方案直接接ClamAV或类似引擎,扫描精度比简单字符串匹配高一个量级。
## 验证修复是否生效的四组测试
修完上传一些测试样本验证:
- 正常图片样本:上传一张正常的.jpg图片。预期:成功,文件被重命名为时间戳格式,落到uploads目录。
- 双扩展名样本:上传一个改了扩展名的PHP文件(test.php改成test.jpg)。预期:被第一层MIME校验拦下,提示文件类型与扩展名不匹配。
- EXIF注入样本:上传一个尾部嵌入PHP代码的伪图片(合法图片头部 + 末尾PHP代码)。预期:被第五层内容扫描拦下(如果开启了第五层);或者文件被强制改名,攻击者无法通过URL触发执行。
- uploads直访样本:直接访问/uploads/xxx.php测试服务器层禁解析。预期:返回403。
每个测试都要在生产环境模拟做一遍,不要只在开发环境验证——服务器配置经常不一致。生产环境Nginx可能有CDN回源、可能开启了不同的fastcgi_pass,开发环境的"通过"不代表生产环境也通过。
## 全站审计判定是否已经被入侵
修复完后必须做一次全站审计,检查是否已经有恶意文件在站点里。这是修复后的第一件事。
用find命令搜可疑PHP文件:
# 在 uploads 目录及其子目录里搜含 eval 的 PHP 文件
find /www/wwwroot/yoursite.com/uploads -name "*.php" -exec grep -l "eval(" {} \;
# 搜近 90 天内修改过的 PHP 文件(可疑变更)
find /www/wwwroot/yoursite.com -name "*.php" -mtime -90 -type f
# 搜文件大小异常的图片(正常 jpg 通常小于 5MB)
find /www/wwwroot/yoursite.com/uploads -name "*.jpg" -size +10M
找到可疑文件后逐个查看内容。如果是webshell(远程执行代码的脚本),证明站点曾被入侵——此时需要:
- 立即删除所有webshell文件。
- 检查admin表是否有异常账号(可疑用户名、邮箱)。
- 检查dede_admin表的logintime字段是否有可疑登录记录。
- 修改所有管理员密码。
- 检查cookies表和session表是否有持久化的攻击者会话。
- 检查数据库内容是否被篡改(首页文章、栏目设置、友情链接)。
- 更换所有API密钥和敏感配置。
如果不确定是否被入侵,请安全公司做专业审计。自行处理容易遗漏后门。
## DedeCMS上传漏洞历史回顾
了解过往漏洞演化能更好理解为什么要叠加多层防御:
- 2010年首次披露:扩展名白名单不严,简单改后缀绕过。官方修补:增加扩展名严格白名单。
- 2012年绕过:用双扩展名evil.php.jpg绕过单一扩展名检查。
- 2015年绕过:利用multipart边界畸形让PHP解析器误判扩展名。
- 2018年披露:上传图片时通过EXIF字段注入PHP代码,配合服务器配置错误执行。
- 2022年披露:利用SVG文件类型绕过PHP默认的图片类型识别(SVG是文本格式可以含脚本)。
每次漏洞披露后官方都打过补丁,但DedeCMS 2018年之后官方停止维护,部分变体漏洞至今没有官方修复。社区版本(v5.7 SP2 community edition等)部分修了,但完整防护仍需要站长自己做加固。本文给出的五层防御覆盖了所有已知变体。
## 长期防御建议
- 升级到DedeBIZ或迁出:DedeBIZ是DedeCMS原班人马另起炉灶的新项目,安全性维护比社区版本好。如果业务允许,迁到WordPress或现代CMS是更彻底的方案。整套服务器加固体系可以参考 Linux下DedeCMS生产级安全加固指南 (https://zhangwenbao.com/dedecms-site-security-settings-in-linux-environment.html) 配置mpm-itk、php-fpm权限分离与fail2ban。
- WAF兜底:在Nginx前面加ModSecurity或者云厂商的WAF(如阿里云、Cloudflare WAF),开启文件上传相关的规则集。规则集要选最新版,老版规则对2022年后的新变体覆盖不全。
- 定期审计:每月跑一次上面的find命令搜可疑文件,是防止后门驻留的基本动作。可以把命令写进cron + 邮件告警,自动化值班。
- 最小权限:uploads目录的PHP文件执行权限设为644(不含+x),目录设为755。即使有恶意文件落地,权限受限难以执行。
- 监控日志:Nginx access.log里/uploads/*.php的访问全部记录到独立日志文件,定期分析。任何这类访问都是潜在攻击。
## 常见问题解答
## 修了uploadsafe.inc.php后正常的图片上传也失败怎么办
大概率是MIME白名单太严格。先查PHP错误日志找具体ShowMsg的报错点。常见误伤场景:客户端是老版本IE上传JPEG时MIME是image/pjpeg而不是image/jpeg;客户端是Mac Safari上传HEIC转JPEG时MIME可能带image/heif;客户端是企业网络的代理服务器重写了MIME。对这些场景把白名单适当放宽(加image/pjpeg、image/heif)。如果是finfo函数未启用(php.ini没开fileinfo扩展),需要先在PHP里开启 extension=fileinfo。
## 可选的内容扫描层经常误伤合法文件怎么办
内容扫描层是可选的,不是必须。对内容多样的站点(接受Office文档、PSD等)误伤率会比较高。建议处理方式:第一是只对图片类型扩展启用该层,不扫描其他文件;第二是把stripos简单匹配换成正则上下文匹配(要求 'eval(' 前后有典型PHP代码特征);第三是放弃该层,仅依赖前四层。前四层已经能拦下绝大多数已知攻击变体。
## 修复后还需要更换管理员密码吗
强烈建议更换。如果漏洞被利用过(即使你不知道),攻击者可能已经拿到管理员凭据或留下后门。修复完上传漏洞之后必须做:第一全量审计PHP文件搜webshell;第二修改所有管理员密码(包括FTP、SSH、数据库、CMS后台);第三检查管理员账号列表是否有可疑新增;第四清除所有session强制所有用户重新登录。这些是事后清理的标准动作。
## 有没有现成的脚本批量检测DedeCMS站是否含webshell
D盾、河马webshell查杀(hm.shellpub.com)、安全狗都有专门针对PHP webshell的扫描工具。免费版能识别90%以上的已知webshell特征。把站点wwwroot目录上传到这些工具扫一遍能初步排查。注意工具有误报率,扫到可疑文件需要人工核实再决定是否删除。商业级安全审计推荐找专业安全公司做静态分析+动态测试。
## DedeCMS还在更新吗,应该继续用吗
DedeCMS官方在2018年宣告停止商业授权销售,目前的5.7 SP2和5.8都是社区维护版本。安全补丁是社区自发提供,不像WordPress有完善的更新机制。如果你的站点是新项目,强烈不建议选DedeCMS——长期安全风险高。已有的老站点建议要么迁到WordPress等活跃项目,要么按本文方式做安全加固后继续维护。
## 修了文件后被DedeCMS升级覆盖怎么办
把修改记录到独立的补丁文件dede_security_patch.diff用git管理。每次官方升级前先git diff看你的修改是否会被覆盖;升级后跑一遍diff应用补丁。如果团队有CI/CD流程,把补丁应用纳入部署管道。手工维护时记得在uploadsafe.inc.php的修改段加注释标记 'CUSTOM_SECURITY_PATCH 起止',下次升级前用grep快速定位。
## uploads目录禁解析后老的图片访问会受影响吗
不会。Nginx的 location ~ \.(php|...) 规则只匹配PHP等动态扩展,对.jpg、.png、.gif这些静态文件不影响。配置后立刻刷新一些图片URL验证。如果发现某些资源被误屏蔽,看location块的具体匹配规则。配置生效需要nginx -s reload。
## 多站点共用一个服务器加固一个站点要不要也加固其他
必须。同服务器上的多个站点如果有一个被入侵,攻击者通常能横向渗透到其他站点(通过共享的PHP进程、共用的MySQL账号、文件系统权限不严等)。安全加固要全服务器同时做。如果实在不能同时改,至少要在Nginx上对uploads目录全局禁解析,并隔离不同站点的PHP-FPM池。
## 实战补充:保哥处理过的六个被入侵案例
过去4年保哥处理过6个被DedeCMS上传类漏洞利用过的客户站。整理一下每个案例的入侵路径和修复过程,看完能更直观理解多层防御的必要性。
入侵路径 | 发现时间 | 影响范围 | 修复方案 |
双扩展名evil.php.jpg绕过 | 入侵后32天发现 | 首页被植入跳转JS | MIME校验+文件名规范化+Nginx禁解析 |
EXIF字段注入PHP代码 | 入侵后17天发现 | 插入垃圾外链 (https://zhangwenbao.com/ai-spam-backlink-detection-guide.html)页面412个 | getimagesize+Nginx禁解析+图片专用内容扫描 |
SVG含script绕过 | 入侵后6天发现 | 管理员账号被盗用一次 | 白名单移除svg+Nginx禁解析 |
multipart边界畸形 | 入侵后88天发现 | 整站镜像到攻击者域名 | 升级PHP 7.4到8.1+全部方案 |
文件名编码绕过 | 入侵后14天发现 | 植入挖矿脚本 | 文件名规范化+服务器全局扫 |
编辑器插件漏洞 | 入侵后4天发现 | SEO黑链插入 | 移除老版编辑器插件+MIME校验 |
这6个案例的共同点:单层防御失败时,多层防御能阻断攻击链。比如双扩展名案例绕过了扩展名检查,但如果有Nginx禁解析配合,文件落地后也无法被执行。编辑器插件案例如果同步部署了 KindEditor编辑器深度优化指南 (https://zhangwenbao.com/kindeditor-image-upload.html) 里的上传目录归档与CSRF加固,攻击面会进一步收窄。
## PHP版本与防御能力的关系
PHP自身版本对文件上传漏洞防御能力影响很大:
- PHP 5.6及以下:finfo在某些版本对畸形文件MIME探测有bug;getimagesize对部分构造的图片返回值不可靠。如果服务器还在用PHP 5.6,强烈建议升级。
- PHP 7.0到7.3:基础校验函数稳定,但random_bytes在某些低版本编译时未启用。
- PHP 7.4到8.x:所有本文用到的函数都稳定可用。如果你的DedeCMS跑在PHP 7.4以下,应该优先升级PHP。
DedeCMS 5.7 SP2官方支持PHP 5.6到7.4,5.8社区版兼容到PHP 8.0。如果可能升级到PHP 8.0或更高版本,本文的防御方案能更稳定运行。升级PHP之前必须备份并在测试环境验证DedeCMS兼容性,部分老插件可能在PHP 8.x下报错。
## 结合宝塔面板的实施步骤
大部分国内DedeCMS站点跑在宝塔面板上。宝塔自带的"网站防火墙"插件能在Nginx层做部分上传防护,但不够细化。建议同时做:
- 宝塔后台 - 网站 - 你的站点 - 设置 - 配置文件,把上面Nginx的location段加进去,保存重启。
- 宝塔后台 - 安全 - 防火墙,开启"文件上传过滤",规则集选最严。
- 宝塔后台 - 文件 - 你的uploads目录 - 权限 - 设为755,所有者www,禁止其他用户写。
- 宝塔后台 - 软件商店 - 安装"网站监控"插件,开启文件变更告警。
- 本文MIME校验、getimagesize验证、文件名规范化三层通过SSH编辑include/uploadsafe.inc.php实施。改前备份原文件到backup目录。
宝塔面板的防火墙规则对DedeCMS特定漏洞的覆盖度不全(毕竟是通用WAF不是DedeCMS专用),仍需要本文的代码层加固兜底。安装宝塔之后定期升级到最新版,老版宝塔本身也存在过几个安全公告。
## 权威参考资料
## 织梦article_add Cookie泄漏SQL注入:五道防线修复
- URL:https://zhangwenbao.com/article_add-php-in-dedecms-has-cookies-leak-causing-sql-vulnerabilities-to-be-repaired.html
- 分类:织梦CMS教程
- 发布:2018-07-08 | 更新:2026-06-02
- 摘要:DedeCMS会员中心的SQL注入根因在fields hash校验机制:md5虽单向,但fields内容能被攻击者拿到,构造合法哈希就绕过了字段类型保护。本文给出五道纵深防线的完整PHP代码——服务端密钥双重md5、PDO参数化、白名单与长度控制、全站定位与Nginx拦截特征字符串。
- 关键词:织梦漏洞,SQL注入,DedeCMS安全,article_add,Cookie安全
> **TLDR**:摘要:DedeCMS会员中心的SQL注入根因在fields hash校验机制——md5虽单向,但fields内容能被攻击者拿到,构造合法哈希就绕过了字段类型保护。本文给出五道纵深防线的完整PHP代码——掺服务端密钥的双重md5、PDO参数化替代拼接、白名单标签与长度控制、横向扫描所有相似入口、服务器层WAF兜底,再附验证、全站入侵审计和迁出建议。
> 摘要:DedeCMS会员中心的SQL注入根因在fields hash校验机制——md5虽单向,但fields内容能被攻击者拿到,构造合法哈希就绕过了字段类型保护。本文给出五道纵深防线的完整PHP代码——掺服务端密钥的双重md5、PDO参数化替代拼接、白名单标签与长度控制、横向扫描所有相似入口、服务器层WAF兜底,再附验证、全站入侵审计和迁出建议。
DedeCMS 的会员中心 member/article_add.php 文件 2016 年首次披露过一个 SQL 注入漏洞:攻击者可以通过构造特殊的 Cookie 绕过后端的 dede_fieldshash 校验机制,向数据库执行任意查询。这个漏洞核心问题是 Cookie 信息泄漏让校验哈希可被预测,配合不严格的参数过滤造成注入。本文不讨论攻击如何构造(攻击细节请阅 CNVD / CVE 数据库的官方披露),只讲修复方案、纵深防御、修复后的入侵审计。保哥过去 4 年帮 9 个被 SQL 注入打过的 DedeCMS 客户做过修复,本文是这些工作的整理。
覆盖版本:DedeCMS 5.7 SP2 / 5.7 UTF8 SP1 / 5.8 社区版。涉及的文件主要是 member/article_add.php、include/dedesql.class.php、include/common.inc.php。修复前必须备份完整源代码和数据库。
## dede_fieldshash 校验机制的设计意图
先理解 DedeCMS 的设计才能知道为什么会出现这个漏洞。member/article_add.php 是会员发布文章的入口。用户在前台填表单提交文章时,DedeCMS 用一个隐藏字段 dede_fields 描述各个字段的类型和约束(如 title=string,4-100; body=html,200-50000);同时用 dede_fieldshash 字段存这个描述的 md5 哈希,防止前端篡改字段类型。
原版逻辑大致是:
- 表单生成时把 dede_fields 写到 hidden input,并计算 dede_fieldshash = md5(dede_fields)。
- 用户提交后,后端取 POST 里的 dede_fields,重新计算 md5,与 POST 的 dede_fieldshash 比较。
- 如果一致,相信 dede_fields 没被篡改,按它描述的字段约束处理表单数据。
这个设计的问题是:md5 是单向哈希,但只要 dede_fields 的内容被攻击者知道,就能自己算 md5 构造合法 hash。攻击者只需要在 Cookie 里或者别的地方拿到一份合法的 dede_fields 样本,就能任意构造新的字段描述,让后端按攻击者的约束处理数据——攻击者可以让 body 字段不做 SQL 转义,直接传入恶意 SQL 片段实现注入。
修复的核心思路是给 md5 计算加一个攻击者无法预测的密钥(HMAC 思路),让攻击者即使知道 dede_fields 也算不出合法 hash。
## 掺入服务端密钥的双重 md5 改造
在 member/article_add.php 大约第 40 行(具体行号视 SP 版本和你之前的修改略有差异,用关键字 fieldshash 定位)找到 hash 校验段。原代码大致是:
$fieldshash = md5($dede_fields);
if ($fieldshash !== $_POST['dede_fieldshash']) {
ShowMsg('字段描述被篡改', '-1');
exit;
}
修改为引入服务端密钥的双重 md5:
// 服务端密钥,部署时在 data/common.inc.php 里配置
// $cfg_security_salt = '你自定义的高熵字符串_至少32字符'
$securitySalt = isset($GLOBALS['cfg_security_salt']) ? $GLOBALS['cfg_security_salt'] : 'anythingelse_长度至少32位_请在部署时替换';
$expectedHash = md5(md5($dede_fields) . $securitySalt);
if ($expectedHash !== $_POST['dede_fieldshash']) {
ShowMsg('字段描述被篡改', '-1');
exit;
}
核心要点:
- 用双重 md5(md5(...) . salt) 而不是简单 md5(... . salt),避免长度扩展攻击。
- 密钥从配置文件读,不要硬编码在 article_add.php 里(否则源码泄漏就废)。
- 密钥长度至少 32 字符,使用高熵随机串(用 bin2hex(random_bytes(16)) 生成一次后写入配置)。
- 每个站点的密钥应该不同,不要复制粘贴常见的示例字符串。
注意:修改这段后,原来的表单生成处也要同步修改 fieldshash 的计算逻辑——否则前端生成的 hash 和后端期望的不一致,所有合法提交都会被拦截。表单生成代码通常在 dede 系统的 include/inc_archives_functions.inc.php 或类似位置,搜 md5($dede_fields) 找到对应代码段同样改为双重 md5 加 salt。
## 参数化查询替代字符串拼接
第一步只是堵了表单字段类型被篡改的入口。但 DedeCMS 整个项目里有大量字符串拼接的 SQL,根本治理是改用参数化查询。从 member/article_add.php 的数据写入语句开始:
原版(脆弱)写法:
$query = "INSERT INTO #@__archives (typeid, title, body, mid)
VALUES ($typeid, '$title', '$body', $mid)";
$dsql->ExecuteNoneQuery($query);
改为参数绑定写法(DedeCMS 自带的 dedesql.class.php 支持参数绑定但很多老代码没用):
$dsql->SetQuery("INSERT INTO #@__archives (typeid, title, body, mid) VALUES (?, ?, ?, ?)");
$dsql->ExecuteWithParams([$typeid, $title, $body, $mid]);
如果 dedesql.class.php 没有 ExecuteWithParams 方法(老版本可能没有),用 PDO 直接写:
$pdo = new PDO("mysql:host=$cfg_dbhost;dbname=$cfg_dbname;charset=utf8mb4", $cfg_dbuser, $cfg_dbpwd);
$stmt = $pdo->prepare("INSERT INTO {$cfg_dbprefix}archives (typeid, title, body, mid) VALUES (?, ?, ?, ?)");
$stmt->execute([$typeid, $title, $body, $mid]);
参数化查询的核心保护是:MySQL 服务端把 SQL 模板和参数分开解析,参数值永远不会被当作 SQL 代码执行。这是 SQL 注入的根本防御。
## 输入过滤与白名单标签
参数化是技术层防御,业务层还需要输入过滤。在 member/article_add.php 接收 POST 数据后立刻做一层过滤:
function sanitizeInt($val) {
return (int)$val; // 强制转 int,非数字字符全部丢弃
}
function sanitizeString($val, $maxLen = 1000) {
$val = trim($val);
$val = strip_tags($val, ' **TLDR**:摘要:DedeCMS的member/pm.php存在SQL注入CVE-2018-9134,单引号闭合加UNION就能脱库。本文从源码讲清成因,给出intval强类型的最小补丁和PDO参数化的彻底修复,再讲全站SQL注入审计方法论、WAF层防护、密码哈希加固、被脱库后的应急响应,以及迁到现代PHP生态的建议。
> 摘要:DedeCMS (https://zhangwenbao.com/dedecms-commonly-used-batch-sql-statements.html)的member/pm.php存在SQL注入CVE-2018-9134,单引号闭合加UNION就能脱库。本文从源码讲清成因,给出intval强类型的最小补丁和PDO参数化的彻底修复,再讲全站SQL注入审计方法论、WAF层防护、密码哈希加固、被脱库后的应急响应,以及迁到现代PHP生态的建议。
DedeCMS 会员中心 member/pm.php(站内私信功能)在 2018 年被披露存在 SQL 注入 (https://zhangwenbao.com/dedecms-soft_add-php-has-sql-injection-vulnerability-repair-method.html)漏洞,CVE 编号 CVE-2018-9134。攻击者通过构造特殊的 id 参数能直接读取 dede_member 表里的密码哈希、邮箱、手机号等敏感字段。这个漏洞至今仍是 DedeCMS 站点被脱库的最常见入口之一。本文从源码层面讲清漏洞成因(intval 缺失导致字符串拼接进 SQL)、给出最小修复 patch 与几种替代方案(参数化查询、ORM 包装层)、扩展到全站 dede:sql 注入审计的方法论、被脱库后的应急响应、与现代 PHP 生态(PDO 预编译、Doctrine ORM)的迁移路径。
## 漏洞成因详解
## 原始漏洞代码
问题代码在 member/pm.php 的 read 分支:
else if ($dopost == 'read') {
$sql = "SELECT * FROM `#@__member_friends`
WHERE mid='{$cfg_ml->M_ID}' AND ftype!='-1'
ORDER BY addtime DESC LIMIT 20";
$friends = array();
$dsql->SetQuery($sql);
$dsql->Execute();
while ($row = $dsql->GetArray()) {
$friends[] = $row;
}
$row = $dsql->GetOne(
"SELECT * FROM `#@__member_pms`
WHERE id='$id' AND (fromid='{$cfg_ml->M_ID}' OR toid='{$cfg_ml->M_ID}')"
);
// ...
}
关键问题在 WHERE id='$id' —— $id 直接来自 $_GET['id'] 或 $_POST['id'],未做任何过滤。SQL 字符串拼接的方式让攻击者可以构造:
?id=1' UNION SELECT pwd FROM dede_member WHERE mid=1 --
实际拼出的 SQL:
SELECT * FROM dede_member_pms
WHERE id='1' UNION SELECT pwd FROM dede_member WHERE mid=1 -- '
AND (fromid='current_user' OR toid='current_user')
UNION 查询返回了 dede_member 表里管理员(mid=1)的密码哈希。
## 为什么单引号包围还是有漏洞
很多新手会以为“id='$id'”的单引号已经把输入限制成字符串,攻击者注不进 SQL。但这是错觉:单引号本身可以被攻击者闭合。?id=1' 中的 ' 把 SQL 里的引号闭合了,后面的 UNION 就脱离了字符串上下文。
## 为什么 mid 字段拼接是安全的
仔细看 SQL 里同样有 mid='{$cfg_ml->M_ID}',但 M_ID 来自服务器端会话(已登录用户的 ID),不可被外部控制。这是关键差别:来自用户输入的字段必须过滤,来自服务器内部的可控变量不需要。
## 修复方案一:intval 强类型转换
## 最小补丁
原文给的修复方案是在拼 SQL 之前加 intval:
else if ($dopost == 'read') {
$sql = "SELECT * FROM `#@__member_friends`
WHERE mid='{$cfg_ml->M_ID}' AND ftype!='-1'
ORDER BY addtime DESC LIMIT 20";
$friends = array();
$dsql->SetQuery($sql);
$dsql->Execute();
while ($row = $dsql->GetArray()) {
$friends[] = $row;
}
/* 修复:$id 强转整数 */
$id = intval($id);
/* */
$row = $dsql->GetOne(
"SELECT * FROM `#@__member_pms`
WHERE id='$id' AND (fromid='{$cfg_ml->M_ID}' OR toid='{$cfg_ml->M_ID}')"
);
if (!is_array($row)) {
ShowMsg('对不起,你指定的消息不存在或你没权限查看!', '-1');
exit();
}
$dsql->ExecuteNoneQuery(
"UPDATE `#@__member_pms` SET hasview=1
WHERE id='$id' AND folder='inbox' AND toid='{$cfg_ml->M_ID}'"
);
$dsql->ExecuteNoneQuery(
"UPDATE `#@__member_pms` SET hasview=1
WHERE folder='outbox' AND toid='{$cfg_ml->M_ID}'"
);
include_once(dirname(__FILE__) . '/templets/pm-read.htm');
exit();
}
## intval 的工作原理
PHP 的 intval() 把任意字符串转成整数。intval("1") 是 1,intval("1' UNION SELECT...") 也是 1,因为 PHP 从字符串开头取数字直到第一个非数字字符为止。所有注入 payload 都会被截断为安全的整数。
## 这个方案的局限
- 只对整数 id 字段有效。如果字段是字符串(用户名、邮箱、UUID),intval 会变成 0。
- 同文件中其它 dopost 分支(write、send、del)可能有相似漏洞,需要逐一审计。
- 修复后下次 DedeCMS 升级 pm.php 可能覆盖你的改动,要做好补丁记录。
## 修复方案二:参数化查询(更彻底)
## DedeCMS 的 dsql 类支持预编译
DedeCMS 自带的 $dsql 对象其实有 SetQuery 之外的预编译接口,但代码里几乎不用。改成参数化:
$id = intval($id); // 防御性双保险
$sql = "SELECT * FROM `#@__member_pms`
WHERE id = ?
AND (fromid = ? OR toid = ?)";
$pdo = new PDO($dsn, $user, $pass);
$stmt = $pdo->prepare(str_replace('#@__', $cfg_dbprefix, $sql));
$stmt->execute([$id, $cfg_ml->M_ID, $cfg_ml->M_ID]);
$row = $stmt->fetch(PDO::FETCH_ASSOC);
PDO 预编译彻底杜绝 SQL 注入,不依赖 intval 这种类型转换的偶然性。
## 用 escapestring 兜底
如果不引入 PDO,DedeCMS 自带 addslashes 等转义。但 addslashes 不安全(多字节字符集下能被绕过),改用 mysqli_real_escape_string:
$id = mysqli_real_escape_string($GLOBALS['link'], $id);
// 仍要确保字段类型,避免空字符串触发逻辑错误
if (!preg_match('/^\d+$/', $id)) { exit('Invalid ID'); }
## 全站 SQL 注入审计方法论
## 定位所有用户输入入口
DedeCMS 通过 require_once common.inc.php 自动把 $_GET / $_POST 的所有值注册为全局变量。比如 ?id=123 会自动产生 $id=123。这种“自动全局化”让追踪输入入口变得困难——表面上 $id 看起来是局部变量,实际是用户输入。
命令行扫描所有可能涉及用户输入的代码:
# 找所有 SQL 字符串拼接的位置
cd /var/www/dedecms
grep -rn "WHERE.*=.*'\$" --include="*.php" .
grep -rn "INSERT.*\$" --include="*.php" .
grep -rn "UPDATE.*=.*\$" --include="*.php" .
## 标记可疑文件
历史上 DedeCMS 漏洞集中爆出的目录:
- plus/ —— 几乎每个文件都曾出过漏洞,其中 recommend.php、carbuyaction.php、search.php、mytag_js.php、advancedsearch.php 是高频名单。
- member/ —— pm.php、resetpassword.php、edit_baseinfo.php、ajax_membergroup.php。
- include/ —— common.func.php 里的 GetCookie、PutCookie 函数有签名验证缺失。
- dede/ —— 后台理论上要鉴权,但部分接口的鉴权用 == 而不是 === 比较,可类型混淆绕过。
## 批量打补丁
对每个识别出的漏洞点应用“intval + addslashes + 严格类型校验”三件套:
// 整数字段
$id = intval($id);
if ($id <= 0) { ShowMsg('参数错误', '-1'); exit(); }
// 字符串字段
$keyword = addslashes(htmlspecialchars($keyword));
if (strlen($keyword) > 50) { ShowMsg('关键词过长', '-1'); exit(); }
// 枚举字段(性别、状态)
$gender = in_array($gender, ['male', 'female', 'other']) ? $gender : 'other';
## WAF 层面的防护
## nginx 层 SQL 注入拦截
Application 层修复之外,可以在 nginx 加正则规则拦截 SQL 注入特征请求:
map $args $sql_injection {
default 0;
"~*(union[\s\+]+select|select[\s\+]+from|insert[\s\+]+into|update[\s\+]+set|drop[\s\+]+table|delete[\s\+]+from|or[\s\+]+1=1|sleep\(|benchmark\(|substr\(|concat\()" 1;
}
server {
if ($sql_injection = 1) {
return 403;
}
# ...
}
这种规则有误报风险(合法 URL 中含有 select 关键词会被拦),生产部署前用日志模式(log 而不是 return 403)观察一段时间。
## 用 ModSecurity 与 OWASP CRS
更专业的做法是上 ModSecurity + OWASP Core Rule Set。OWASP CRS 包含几千条 SQL 注入、XSS、命令注入特征规则,覆盖度比手写正则强得多。安装:
sudo apt-get install libmodsecurity3 nginx-module-modsecurity
# 下载 OWASP CRS
git clone https://github.com/coreruleset/coreruleset /etc/nginx/modsec/
# 在 nginx.conf 启用
## 云 WAF
阿里云、腾讯云、Cloudflare、AWS WAF 都提供 SQL 注入防护规则集。中小站点上云 WAF 是最省心的方案,每月几十到几百块。
## 密码哈希加固
即便修了 pm.php 的注入,DedeCMS 的密码哈希(MD5)本身已经不安全。MD5 单次哈希加 ec_salt 在 GPU 字典攻击下几小时就能破解。建议:
## 升级到 password_hash
PHP 5.5+ 提供 password_hash() 与 password_verify(),默认用 bcrypt。改造 DedeCMS 用户验证:
// 用户注册时
$hash = password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]);
$dsql->ExecuteNoneQuery("INSERT INTO #@__member (userid, pwd) VALUES ('$userid', '$hash')");
// 用户登录时
$row = $dsql->GetOne("SELECT pwd FROM #@__member WHERE userid='$userid'");
if (password_verify($password, $row['pwd'])) {
// 登录成功
}
cost 参数 12 让 bcrypt 在现代 GPU 上单次哈希耗时约 250ms,字典攻击成本陡增。
## 历史数据迁移
DedeCMS 库里已有几千上万个 MD5 密码不能直接转成 bcrypt(不知道明文)。处理:
- 登录时如果检测到 MD5 格式,校验通过后立刻用 bcrypt 重哈希一次写回。
- 对长期不登录的账号发邮件强制重置密码。
- 给所有账号默认开启二步验证(2FA)。
## 被脱库后的应急响应
## 检测被脱库的迹象
- nginx access.log 出现大量带 SQL 关键字的请求。
- MySQL 慢查询日志记录到长查询(attacker 可能在做盲注探测)。
- 用户反馈邮箱密码在其它站被试出(数据被打包出售)。
- HaveIBeenPwned 等数据泄漏数据库出现你站点。
## 应急动作
- 立刻把站点切到维护页,修复漏洞。
- 强制所有用户改密码(清空 dede_member.pwd 字段或下发邮件链接)。
- review 后台管理员账号的最近活动,重置 root 密码。
- review 数据库表是否被增删(dede_admin 表是否多了未授权账号)。
- 通知用户已发生泄漏(GDPR 与个保法要求 72 小时内通知)。
- 向网信办或公安备案上报(数据规模大的话)。
## 溯源调查
查 access.log 找首个成功注入的请求时间点:
grep -i "union\|select.*from\|sleep(" /var/log/nginx/access.log | head -50
看 IP 地理位置(whois、ipinfo.io)、User-Agent 特征(sqlmap、Havij 等工具有特征 UA)、之后的访问行为模式。完整的攻击链通常是:探测注入 → 拿数据库结构 → 拿用户表 → 离线破解密码哈希 → 登录后台 → 上传 webshell。
## 迁移到现代 PHP 生态
## 用 ORM 替代手写 SQL
Doctrine ORM、Eloquent(Laravel 的 ORM)从设计上就是参数化查询,不可能写出 SQL 注入:
// Eloquent 写法
$pm = MemberPM::where('id', $id)
->where(function($q) use ($currentUserId) {
$q->where('fromid', $currentUserId)
->orWhere('toid', $currentUserId);
})
->first();
$id 不管是什么内容,永远作为参数绑定到查询,不会被解释为 SQL。
## 用 Symfony Form 验证用户输入
Symfony Form 组件提供“类型 + 约束”声明式验证:
$builder
->add('id', IntegerType::class, [
'constraints' => [new Assert\Positive()]
]);
Form 验证失败的请求根本到不了 controller,更不会触发 SQL 拼接。
## 升级到 DedeBIZ 或迁移到 Typecho
DedeBIZ 是 DedeCMS 的商业延续版,在原版基础上做了大量安全修复。Typecho 是国产轻量博客系统,代码质量与现代 PHP 实践都更优。如果你的站点不依赖 DedeCMS 特定功能(自定义模型、采集),迁移过去能彻底消除历史漏洞包袱。
## 常见故障
## 故障 1:修复后用户无法访问私信
intval 把非数字 id 转成 0,原本应该抛错的请求被当成“查询 id=0 的私信”返回空结果。改进:先校验是否为合法整数:
if (!is_numeric($id) || intval($id) <= 0) {
ShowMsg('无效的私信 ID', '-1');
exit();
}
$id = intval($id);
## 故障 2:升级后补丁丢失
DedeCMS 升级会覆盖 member/pm.php。建议把所有补丁单独维护一份 patches/ 目录,每次升级后用 patch 命令重新应用:
diff -u original/pm.php patched/pm.php > patches/pm.php.patch
# 升级后
patch /var/www/dedecms/member/pm.php < patches/pm.php.patch
## 故障 3:WAF 规则误拦合法请求
关键词如 select、union 在合法 URL 中也可能出现(比如 ?action=select&item=union_pay)。WAF 规则要精确到“带 SQL 语义的组合”而不是单关键词。先开 log-only 模式观察 1-2 周再启用拦截。
## 故障 4:参数化查询性能下降
PDO 预编译有缓存机制,第一次执行慢,后续快。如果你看到性能变差,检查是否每次都新建 PDO 连接(连接池缺失)。改用持久连接:
$pdo = new PDO($dsn, $user, $pass, [PDO::ATTR_PERSISTENT => true]);
## 故障 5:审计扫描出大量误报
grep 正则会把字符串字面量里的 SELECT 也算上。结合 AST 分析工具(PHP-Parser、psalm)能更精确:psalm 静态分析 DedeCMS 代码能找出真正的 SQL 注入点。
## 常见问题解答
## 修了 pm.php 是不是 DedeCMS 就安全了?
远远不够。pm.php 只是一个公开的漏洞点,DedeCMS 还有几十个未公开或低危的注入位置。完整安全靠“所有用户输入都过滤 + WAF 兜底 + 密码哈希升级 + 后台目录与权限分离”组合。
## intval 修复对 base64 编码的 id 还有效吗?
有效。intval("MQ==" base64 解码前) 取数字部分得 0。但攻击者也可能用其它编码绕过。建议先检查格式(is_numeric 或正则)再 intval。
## DedeCMS 官方还在修漏洞吗?
原版 DedeCMS 自 2020 年起官方维护停滞。新发现的漏洞官方不会修,社区有人维护非官方补丁但更新慢。建议主动升级到 DedeBIZ 或迁移到 Typecho/WordPress。
## WAF 与代码层修复哪个更重要?
代码层是根本,WAF 是兜底。只用 WAF 不修代码:WAF 规则总有空子(编码绕过、时序攻击)。只修代码不用 WAF:未来出现新漏洞前没有兜底防线。两者都做最稳。
## 升级 PHP 到 8.x 后 DedeCMS 报错怎么办?
DedeCMS 5.7 在 PHP 8.x 下大量函数废弃错误。需要打 dedeCMS-php8 兼容补丁,或者降回 PHP 7.4。但 PHP 7.4 已经停止安全更新(2022 年起),长期不可持续。
## 能否直接禁用 pm.php?
能。如果你的会员中心不用站内私信功能,nginx 层直接 deny:
location = /member/pm.php { deny all; }
这是最彻底的“关掉攻击面”做法。
## 如何检查站点是否已被注入?
看 dede_admin 表是否多了陌生账号;看 dede_member 表是否有 mid=1 的密码哈希被替换;用 wpscan 类工具扫描站点指纹;用 phpcheck 扫 webshell 特征。还可以对比 mysqldump 备份与现状的差异。
## DedeCMS 有没有像 WordPress Wordfence 那样的安全插件?
没有官方维护的。社区有几个第三方安全插件但更新滞后。目前最务实的做法是 ModSecurity + 云 WAF + 自己审计代码。
## 升级补丁后怎么验证修复有效?
用 sqlmap 工具针对该 URL 测一次:sqlmap -u "https://example.com/member/pm.php?dopost=read&id=1" --cookie="PHPSESSID=xxx" --level=5 --risk=3。修复有效的话 sqlmap 报“not injectable”。
## 除了 pm.php 还有哪些 DedeCMS 已知 SQL 注入漏洞?
CVE 数据库搜“DedeCMS”能查到几十个。最常见的还有 plus/recommend.php、plus/carbuyaction.php、plus/search.php、include/dialog/select_soft.php。打全套补丁参考社区维护的 dedecms-vulnerability-patches 项目。
## 权威参考资料
## DedeCMS会员中心mtypes.php SQL注入漏洞修复深析:数组键名注入根因、intval补丁与系统化排查
- URL:https://zhangwenbao.com/dedecms-member-center-mtypes-php-injection-vulnerability-repair-method.html
- 分类:织梦CMS教程
- 发布:2018-07-02 | 更新:2026-05-16
- 摘要:DedeCMS的会员中心mtypes.php只过滤了数组的值却漏了键名,攻击者构造特殊键名就能注入SQL(CVE-2018-9134)。本文讲透数组键名注入的根因和intval补丁的关键作用,对比五种过滤方式的可靠性,并给出系统化排查命令和三层防御。
- 关键词:织梦漏洞,织梦会员中心,SQL注入,CVE-2018-9134,DedeBIZ
> **TLDR**:摘要:DedeCMS会员中心的mtypes.php只过滤了数组的值却漏了键名,攻击者构造特殊键名就能注入SQL,这就是CVE-2018-9134。本文讲透数组键名注入的根因和intval补丁的关键改动,点出补丁还不够、文件里其它注入点,再用PDO预处理重构、给系统化排查整套代码的方法、WAF兜底和被入侵后的应急响应。
> 摘要:DedeCMS会员中心的mtypes.php只过滤了数组的值却漏了键名,攻击者构造特殊键名就能注入SQL,这就是CVE-2018-9134。本文讲透数组键名注入的根因和intval补丁的关键改动,点出补丁还不够、文件里其它注入点,再用PDO预处理重构、给系统化排查整套代码的方法、WAF兜底和被入侵后的应急响应。
DedeCMS 会员中心的 /member/mtypes.php 在 2014 年被披露存在 SQL 注入 (https://zhangwenbao.com/dedecms-soft_add-php-has-sql-injection-vulnerability-repair-method.html)漏洞——攻击者通过分类管理表单的 mtypename[id] 数组键名注入恶意 SQL,能直接读取/修改数据库内容(含管理员密码哈希)。这是 DedeCMS 历史上影响最广的漏洞之一,至今很多老站没打补丁仍在裸奔。
这一篇把这个漏洞讲透:根因(PHP 数组键名直接拼到 SQL 里)、原帖给的补丁完整解析、为什么 intval() 是关键、补丁后还有哪些 SQL 注入点、如何系统化扫描整套 DedeCMS 的注入风险、与 WAF / fail2ban (https://zhangwenbao.com/dedecms-site-security-settings-in-linux-environment.html) 的协同防御、2026 年还在用 DedeCMS 的安全建议。
## 漏洞原理:数组键名 SQL 注入
原始漏洞代码(/member/mtypes.php):
foreach ($mtypename as $id => $name) {
$name = HtmlReplace($name); // ✅ 对 $name 做了过滤
$query = "UPDATE `#@__mtypes` SET mtypename='$name' WHERE mtypeid='$id' AND mid='$cfg_ml->M_ID'";
// ↑↑↑↑
// $id 没过滤!
$dsql->ExecuteNoneQuery($query);
}
开发者过滤了数组的 值($name)但忘了过滤 键($id)。PHP 数组的键名可以是任意字符串——攻击者构造一个表单:
提交后 PHP 解析得到 $mtypename = ["1' OR '1'='1" => "payload"]。foreach 循环时 $id = "1' OR '1'='1",直接拼到 SQL:
UPDATE `dede_mtypes` SET mtypename='payload' WHERE mtypeid='1' OR '1'='1' AND mid='123'
WHERE 条件被打穿——所有 mtypes 行都被改成 mtypename='payload'。更高级的攻击者能用 UNION SELECT ... 读取其它表(dede_admin 拿管理员密码哈希)。
## 补丁的关键改动
原帖给的补丁就一行关键改动:
foreach ($mtypename as $id => $name) {
$name = HtmlReplace($name);
$id = intval($id); // ← 关键:把 $id 强制转成整数
$query = "UPDATE `#@__mtypes` SET mtypename='$name' WHERE mtypeid='$id' AND mid='$cfg_ml->M_ID'";
$dsql->ExecuteNoneQuery($query);
}
intval("1' OR '1'='1") 会得到 1(PHP 的 intval 解析到第一个非数字字符就停)。攻击 payload 被中和。
## 为什么 intval 比 HtmlReplace 强
过滤方式 | 能防 SQL 注入吗 | 能防 XSS 吗 |
HtmlReplace(DedeCMS 内置) | 不可靠 | 可(转义 HTML 实体) |
addslashes | 不可靠(GBK 字符集下能绕过) | 不可 |
mysqli_real_escape_string | 对引号内场景可靠 | 不可 |
intval | 对纯整数场景绝对可靠 | 不可(但整数 ID 不参与 HTML 输出) |
预处理语句(PDO / mysqli prepare) | 绝对可靠 | 不可 |
对 ID 这种"应该是整数"的字段,intval() 是最稳的——任何非数字内容直接变 0 或截断到第一个数字。预处理语句更通用但 DedeCMS 老代码大量用字符串拼接 SQL,临时性补丁里 intval 性价比最高。
## 补丁还不够:mtypes.php 里的其它注入点
原帖只补了 UPDATE 这一处,但同文件里还有 DELETE 操作 $delids 也存在风险点:
$delids = '0';
$mtypeidarr = array_filter($mtypeidarr, 'is_numeric');
foreach($mtypeidarr as $delid) {
$delids .= ','.$delid;
}
$query = "DELETE FROM `#@__mtypes` WHERE mtypeid IN ($delids) AND mid='$cfg_ml->M_ID';";
这里 array_filter(..., 'is_numeric') 已经过滤了非数字键值。但 is_numeric() 接受 "123e+0" 这种科学计数法,理论上可以 "1,2);DROP TABLE x;--" 这种被 is_numeric 拒掉,所以这里相对安全。但严谨做法是每个 $delid 也 intval 一遍:
foreach($mtypeidarr as $delid) {
$delid = intval($delid); // 双保险
$delids .= ',' . $delid;
}
## 系统化排查 DedeCMS 整套代码的注入风险
mtypes.php 不是孤例——DedeCMS V5.6 / V5.7 / 早期 SP 版本里类似的"数组键名直拼 SQL"漏洞还有十几处。要系统化排查:
## 用 grep 扫"foreach + 拼 SQL"模式
cd /www/wwwroot/yoursite.com/
# 找所有 foreach 后面跟 query 拼接的代码
grep -rn "foreach.*as.*=>" --include="*.php" -A 5 | \
grep -B 1 -E "(query|sql).*\\\$" | head -100
每条命中行都需要人工审查:"键名是否被过滤?值是否被过滤?"。
## 重点排查路径
- /member/ — 会员中心,前台用户可达;
- /dede/ — 后台,要求登录但 CSRF 可能放大攻击;
- /include/payment/ — 支付回调,外部可触发;
- /plus/ — 插件目录,历史漏洞最多;
- /api/ — 各种 API 入口。
## 已知的 DedeCMS 高危 CVE
CVE | 位置 | 类型 | 受影响版本 |
CVE-2018-9134 | /member/mtypes.php | SQL 注入(本文) | V5.7 SP1 之前 |
CVE-2018-7700 | /uploads/ | 任意文件上传 | V5.7 SP1 之前 |
CVE-2019-8362 | /dede/file_manage_view.php | RCE | V5.7 SP2 之前 |
CVE-2020-25008 | /include/dialog/ | 任意文件读取 | V5.8.1 之前 |
CVE-2022-23047 | /dede/article_string_mix.php | SQL 注入 | V5.7.106 之前 |
5 条只是"明显的"——实际累计高危漏洞超过 50 条。建议:① 升级到最新社区分叉 DedeBIZ;② 定期跑 D 盾、河马等漏洞扫描器;③ 上 WAF 兜底。
## SQL 注入的攻击面与影响
## 攻击者能做什么
- 读取任意表:UNION SELECT password FROM dede_admin 拿管理员密码;
- 修改任意数据:UPDATE dede_admin SET pwd='伪造哈希' WHERE id=1;
- 删除整表:DROP TABLE dede_archives;
- 写文件:MySQL 的 SELECT ... INTO OUTFILE '/path/shell.php'(需要 FILE 权限),写 webshell;
- 读文件:MySQL 的 LOAD_FILE('/etc/passwd')(需要 FILE 权限);
- RCE:组合注入 + outfile 写入 PHP webshell,再访问执行任意命令。
## 防御纵深
即使 PHP 代码有注入,也能通过其它层次缓解:
- 数据库账号最小权限:DedeCMS 数据库用户只给 SELECT/INSERT/UPDATE/DELETE,不给 FILE / DROP,注入也写不了 webshell;
- WAF:Cloudflare / 阿里云 WAF 自带 SQL 注入特征拦截,能挡 80% 自动化扫描;
- Web 服务器禁止 PHP 在上传目录 (https://zhangwenbao.com/method-of-disable-directory-permissions-for-php-directory-execution.html)执行:即使 webshell 写到 /uploads/,Nginx 配置 location /uploads/ 拦 .php 请求;
- fail2ban 拉黑高频 SQL 注入特征请求。
## 用 PDO 预处理语句重构 mtypes.php
临时补丁是 intval。彻底修复用 PDO 预处理,永久无忧:
// 假设把 DedeCMS 的 $dsql 替换成 PDO 实例
$pdo = new PDO('mysql:host=localhost;dbname=dede;charset=utf8mb4', $user, $pass);
foreach ($mtypename as $id => $name) {
$stmt = $pdo->prepare("UPDATE dede_mtypes SET mtypename = :name WHERE mtypeid = :id AND mid = :mid");
$stmt->execute([
':name' => HtmlReplace($name),
':id' => (int)$id, // 显式转 int
':mid' => (int)$cfg_ml->M_ID,
]);
}
预处理语句的好处:参数永远不会被解释为 SQL 关键字,无论攻击者怎么构造 payload 都不会破坏 SQL 结构。性能上 PDO 预处理还能让数据库缓存执行计划,比拼字符串 SQL 还略快。
## 补丁部署的注意事项
## 升级前务必备份
cp /www/wwwroot/yoursite.com/member/mtypes.php /backup/mtypes.php.$(date +%Y%m%d)
万一打补丁打错或冲突,能 1 分钟回滚。
## 同时清模板缓存
修改 PHP 文件后清 data/tplcache/,避免老缓存还在用旧版逻辑。
## 验证补丁生效
用 sqlmap 测试一下:
sqlmap -u "https://yoursite.com/member/mtypes.php?dopost=save" \
--data="mtypename[1*]=test&cfg_ml=1" \
--cookie="DedeUserID=xx; DedeLoginTime=xx" \
--level=3 --risk=2
未打补丁的版本会被 sqlmap 立刻发现注入;打了补丁的应报"no injection point found"。
## 长期建议:彻底升级或迁移
修一处漏洞只是补一个小坑。彻底解决:
- 升级到 DedeBIZ V6.x:社区分叉版,活跃维护,已合并大部分历史 CVE 补丁;
- 切到 WordPress + 迁移内容:WordPress 的核心代码经过更严格审计,安全生态更成熟;
- 用静态站生成器:Hexo / Hugo / Jekyll 等,没有动态后端就没有 SQL 注入面。
2026 年仍然新建 DedeCMS 站风险远大于收益——历史漏洞之多、社区维护之弱,每个上线日都是赌博。
## 运行时防御:上 WAF
即使代码有补丁,上 WAF 是额外的兜底。Cloudflare 免费版自带 OWASP 核心规则集,能拦绝大多数自动化扫描器:
Cloudflare WAF Rule (Free Plan):
- SQL Injection (SQLi) protection: ON
- Cross-Site Scripting (XSS) protection: ON
- File Inclusion (LFI/RFI): ON
阿里云 WAF / 腾讯云 WAF 国内方案类似。WAF 不是替代代码补丁——是补丁的补充。代码必须修对,WAF 是兜底。
## 监控与告警
装好 WAF 后再加监控:
- fail2ban:扫 access.log 里高频的 ?dopost=save、SQL 注入特征字符串,发现一个 IP 反复试探就拉黑;
- Web 服务器日志告警:HTTP 500 / 502 错误突增(可能是注入后 SQL 报错);
- 数据库监控:突然出现的大量 UPDATE / DELETE 事件,流量异常;
- 邮件告警:管理员账号被改密码、登录 IP 异常都触发邮件。
## 应急响应流程(如果发现已被入侵)
万一晚一步——发现站点已经被注入或挂马,按以下顺序处理:
- 立刻断网:暂停 Nginx / Apache 服务,避免攻击者继续操作;
- 全量备份当前状态:包括所有 PHP 文件、数据库、access.log、error.log——证据保全;
- 修改所有数据库密码:DedeCMS 数据库账号、管理员账号哈希;
- 查 access.log 找入侵时间窗:搜可疑 payload(含 '、UNION、SELECT 的 POST 请求),确定攻击起点;
- 对比文件 mtime:find . -name "*.php" -newer /var/log/messages -mtime -7 找最近 7 天修改过的 PHP 文件,重点排查是否被加 webshell;
- 清理 webshell:常见后门函数 eval() / assert() / preg_replace 加 /e 修饰符,grep 整套代码找;
- 修补漏洞:本文 mtypes.php 补丁 + 升级到 DedeBIZ;
- 重置所有用户密码:admin、会员都强制重置;
- 恢复服务:开 Nginx,监控 24 小时;
- 事后复盘:写故障报告,归档攻击轨迹与防御加固清单。
## 找 webshell 的 grep 命令速查
# 找含 eval 的 PHP 文件
grep -rln "eval(" --include="*.php" /www/wwwroot/yoursite.com/
# 找 base64 编码的 PHP 字符串(webshell 常用伪装)
grep -rln "base64_decode" --include="*.php" /www/wwwroot/yoursite.com/
# 找含 assert 的(assert 也能执行 PHP)
grep -rln "assert(" --include="*.php" /www/wwwroot/yoursite.com/
# 找文件包含 + 用户输入(LFI/RFI)
grep -rEn "(include|require)(_once)?[\s(]+\\\$_(GET|POST|REQUEST)" --include="*.php" /www/wwwroot/yoursite.com/
每条命中的文件都要人工审查——是合法用法还是 webshell。
## 常见问题解答
## 怎么知道我的站有没有被攻击过?
三个排查点:① 看 web 服务器 access.log 找 mtypename[ + 引号 / OR / UNION 等可疑 payload;② 看 dede_admin 表有没有意外新增的管理员账号;③ 看 dede_mtypes 表的 mtypename 字段有没有奇怪的值(被 UPDATE 篡改痕迹)。fail2ban 日志和 WAF 告警也是入口。
## HtmlReplace 真的不能防 SQL 注入吗?
不能。HtmlReplace 是 DedeCMS 自带的 HTML 转义函数(把 < 变 < 之类),针对 XSS 设计的。对 SQL 没有任何保护——SQL 不解析 HTML 实体。要防 SQL 注入要用 intval / addslashes / 预处理语句。
## DedeCMS 已经停止维护,补丁从哪里拿?
三个来源:① DedeBIZ 社区分叉(https://www.dedebiz.com/)已经合并了大部分历史 CVE,下载最新版即可;② D 盾 / 河马等国产 PHP 漏洞扫描器自带 DedeCMS 补丁库;③ 自己根据 CVE 公告手动改代码(本文方式)。生产环境推荐方案 ①。
## 升级 DedeBIZ 会影响现有数据吗?
不会。DedeBIZ 与 DedeCMS V5.7 数据库 schema 兼容——只是替换 PHP 文件,数据库不动。但升级前必须备份所有 PHP 文件 + 数据库,万一新版本与你的自定义模板/插件冲突,能回滚。
## 会员中心是否要彻底关闭?
看业务。如果你的站不需要会员(纯展示型企业站),关闭整个 /member/ 目录是最安全的——直接 Nginx deny all 这个 location,所有相关漏洞瞬间消失。如果业务需要会员,要么升级 DedeBIZ,要么自己审计代码 + 加 WAF。
## 修补丁后还要不要清 Web 服务器缓存?
看你用的缓存层。① OPcache(PHP 自带 opcode 缓存)会缓存 PHP 文件解析后的字节码,文件改动后默认监测 mtime 自动失效,但保险起见可 opcache_reset() 或重启 PHP-FPM;② 静态页面缓存(Cloudflare / 阿里云 CDN)跟 PHP 修改无关,但如果你的攻击页 URL 被 CDN 缓存了攻击响应,要清 CDN 缓存。
## WAF 拦截的请求会影响真实用户吗?
会,但概率极低。WAF 偶尔会误报(比如用户输入的关键词恰好像 SQL)。Cloudflare WAF 有"挑战模式"——可疑请求弹验证码而不是直接 403,平衡安全与用户体验。生产建议上线前用 Log Mode 跑 1 周看告警准确率,再切到 Block Mode。
## 预处理语句会比拼字符串 SQL 慢吗?
不会。① 数据库会缓存预处理执行计划,二次执行更快;② PHP PDO 的预处理本质就是给参数加引号 + 转义,开销几乎为零;③ 在大查询里两者性能差异在毫秒级。预处理语句永远是更优选择,没有不用的理由。
## DedeCMS V5.7 SP3 / SP4 修了多少漏洞?
SP2 之后官方维护放缓,SP3 / SP4 主要是 PHP 8 兼容修复 + 少量 CVE 补丁。绝大部分高危历史漏洞要靠社区分叉(DedeBIZ)维护。如果你站点版本老于 V5.7 SP2,立刻升级是头等优先。
## 2026 年还能新装 DedeCMS 吗?
从技术上能,但非常不推荐。原因:① 大量历史漏洞累积;② 官方停更,没有持续安全补丁;③ PHP 8 / MySQL 8 兼容性差;④ 现代 SEO 友好度不如 WordPress;⑤ 模板/插件生态萎缩。新建项目用 WordPress / Hexo / 自研 + 现代框架的成本远低于"用 DedeCMS + 持续打补丁"。
## 权威参考资料
## 织梦Cookie泄漏SQL注入漏洞怎么修?保哥落地版加收尾清单
- URL:https://zhangwenbao.com/dedecms-inc_archives_functions-php-cookies-sql.html
- 分类:织梦CMS教程
- 发布:2018-06-30 | 更新:2026-06-01
- 摘要:DedeCMS会员投稿模块的inc_archives_functions.php存在Cookie泄漏导致SQL注入的逻辑漏洞,fields hash因签名算法可逆被攻击者打穿会员中心。本文完整复盘真实受损取证、官方临时修复为何不彻底、动态盐值加HMAC-SHA256的稳定方案,以及修复后的七项收尾和五个踩坑。
- 关键词:织梦漏洞,SQL注入,DedeCMS安全,PHP安全,CSRF防御
> **TLDR**:摘要:DedeCMS会员投稿模块的inc_archives_functions.php存在Cookie泄漏导致的SQL注入,fields hash因签名算法可逆被攻击者打穿会员中心。本文复盘客户站点的真实受损,点出官方临时修复为何不够,给出动态盐值加HMAC-SHA256的稳定方案、修复后的收尾清单、其它必须同步修的高危点和迁出织梦的长期判断。
> 摘要:DedeCMS会员投稿模块的inc_archives_functions.php存在Cookie泄漏导致的SQL注入,fields hash因签名算法可逆被攻击者打穿会员中心。本文复盘客户站点的真实受损,点出官方临时修复为何不够,给出动态盐值加HMAC-SHA256的稳定方案、修复后的收尾清单、其它必须同步修的高危点和迁出织梦的长期判断。
这两年陆陆续续接手了不少老站点的安全审计工作,DedeCMS(织梦)依然是绕不开的存量。哪怕官方早已停更多年,仍有一批中小企业站、地方门户、行业资讯站跑在5.7 SP2这条线上。今年三月帮一位做机械配件批发的客户做例行扫描时又一次撞上了member/inc/inc_archives_functions.php (https://zhangwenbao.com/use-the-wordpress-condition-to-determine-the-function-to-execute-specific-code-on-a-specific-page.html)那个老问题——CSRF防御用的hash因为算法可逆而形同虚设,最终被人借此打穿了会员中心。本文把这个洞的完整复盘、修复思路、为什么官方那行替换代码并不能一劳永逸、长期方案的取舍写清楚,给同样要维护织梦遗产的同行做个参考。
## 这个漏洞到底在做什么坏事
先说背景。inc_archives_functions.php是DedeCMS会员投稿模块的核心函数库,负责把附加字段(addonfields)渲染成表单。表单里会输出一个隐藏字段dede_fieldshash,作用是当用户提交时后端拿这个hash校验字段列表有没有被篡改,本意是防CSRF和参数污染。
问题出在签名算法。原始代码用md5函数对dede_addonfields拼接cfg_cookie_encode做签名输出到隐藏字段。而cfg_cookie_encode这个值在整个DedeCMS体系里是被反复使用的——它同时承担会员登录cookie的加密、支付校验、API接口签名等多种职责。也就是说只要攻击者能在前台拿到任何一个会员投稿表单(这是公开页面,根本不需要登录),就能反推出cfg_cookie_encode的md5参与值,然后拿这个泄漏出来的密钥去伪造其他模块的请求,最典型的就是绕过member/buy.php的支付校验,以及通过后台SQL注入 (https://zhangwenbao.com/ecshop-includeslibinsertphp-file-sql-injection-vulnerability-repair-method.html)接口构造合法签名。
实际看到的攻击链是这样:攻击者先批量抓取互联网上跑DedeCMS的站点,访问/member/article_add.php,从返回的HTML里抠出dede_fieldshash,再结合默认或弱口令的cfg_cookie_encode字典做碰撞,命中后就开始往会员组写入SQL payload。整个过程不需要任何登录态,扫描器一晚上能扫几万个目标。这个漏洞在黑产圈被称为织梦cookie泄漏到SQL注入的一键打穿利用链,至今仍在Github的几个老旧渗透工具里能看到现成的POC。
## 漏洞的技术细节
要理解修复思路必须先讲清楚dede_fieldshash的设计缺陷。一个合格的CSRF token应该满足三个条件:
条件1:随机性。token值应该来自加密随机源(如openssl_random_pseudo_bytes),每个用户每个会话都不同。dede_fieldshash完全不满足——它是确定性函数md5对固定输入的运算结果,相同输入永远得到相同输出。
条件2:与会话绑定。token应该和当前用户的session ID绑定,攻击者拿到A用户的token不能用在B用户的请求上。dede_fieldshash完全不绑定会话,只要算法已知任何人都能伪造任何用户的有效token。
条件3:算法不可逆。即使攻击者拿到token也不能反推出生成token所需的密钥。dede_fieldshash用的是md5,本身确实不可逆,但它的密钥(cfg_cookie_encode)泄漏后,攻击者就能正向计算出任意dede_addonfields对应的token。这才是真正的命门。
这种设计在2008年DedeCMS诞生时还能接受,但到2014年HMAC-SHA256加salt的标准做法已经普及之后,DedeCMS仍然没有跟进升级。官方在2018年的最后一次安全公告里只是建议用户自行修改salt但没有从根本上重写签名算法。
## 客户站点的真实受损情况
那个机械配件站被打穿的迹象很明显,我整理了完整的取证清单:
异常账号:dede_member表里多了三个mtype为个人但rank为10(超级会员)的账号,注册时间集中在凌晨2点到4点。这种rank值越权是典型的CSRF借dede_fieldshash绕过的产物。
异常栏目:dede_arctype栏目表里被插入了一条typename为乱码、reid为0的顶级栏目。乱码typename是攻击者用来后续插入跳转链接的容器,正规审核时容易被忽略。
恶意上传:uploads目录下出现了类似1745xxxxxx.gif.php这种双扩展名文件,文件内容是经过Base64编码的WebShell。双扩展名是绕过DedeCMS默认上传过滤的经典手段。
访问日志:Apache access.log里能看到大量带dede_fieldshash参数的POST请求,UA是统一的python-requests/2.28,IP分布在乌克兰、罗马尼亚、巴拿马等三个国家共12个C段。
处理这种事的标准流程是:先断网快照——也就是把整个站点目录打包、数据库dump一份留作取证;然后再做止血修复,最后才是漏洞复盘。这个顺序千万不能乱,很多同行直接上手改代码,结果攻击者留的后门和被篡改的数据库记录就追不回来了。
取证打包的具体命令:用tar czf把整个网站目录打包到加密的目录、用mysqldump导出dede开头的所有表(dede_member、dede_archives、dede_arctype、dede_addonarticle等关键表)、用cp保留Apache access_log与error_log最近30天数据。这套取证包应保存至少90天作为后续追溯证据。
## 官方推荐的临时修复方案为什么不够好
网上流传最广的修复,也是早年织梦圈互相抄的版本,是把那行代码改成在md5的输入里多塞一个固定字符串dls6.com(原作者站点域名)作为盐值。
核心思路是在参与hash的字符串中间插一段固定盐值让攻击者即使知道算法也无法直接复现hash。这个改法能用但不够好,原因有两点:
第一,盐值是写死的明文,任何拿到源码的人都知道,等于换了把锁但钥匙还挂在门口。开源CMS的源码本身就是公开的,写死盐值等于伪安全。
第二,更关键的是,这个修复只动了输出端,校验端archives_check.php里同样位置的md5计算也得同步改,否则提交后会一直报字段被篡改。我见过不止一次有人只改了一处,结果会员投稿全挂,又把代码改回去结果漏洞复活。
另一个隐藏问题是缓存层的污染。DedeCMS的data/cache目录会缓存表单生成的HTML片段,如果你只改了PHP代码没清缓存,老的hash会从缓存里继续返回攻击者依然能用旧hash提交。修复后必须执行rm -rf data/cache下所有tpl_缓存文件强制重建。
## 保哥落地的修复版本
给客户实际落地的版本是这样:用defined判断常量DEDE_FIELD_SALT是否存在,存在就用它,不存在就用sha1拼接当前文件路径加文件修改时间作为兜底盐值。然后把这个动态盐值塞进md5的输入里。
同时在data/common.inc.php里加一行define调用,定义DEDE_FIELD_SALT为一段32位随机字符串。这样盐值放进了配置文件,跟着站点权限走,攻击者哪怕拿到源码也拿不到这个常量。32位随机字符串可以用php -r打印bin2hex(random_bytes(16))生成,每次部署都换一组保证不可猜测。
校验端要做对应替换。除了member/inc/inc_archives_functions.php本身,还要去member/inc/archives_check.php、include/arc.archives.class.php这两个文件里搜dede_fieldshash,所有出现md5拼接的地方都要用同一套盐值规则改一遍。改完清空data/cache目录再测。
更彻底的做法是把md5全部换成HMAC-SHA256:用hash_hmac函数对dede_addonfields做SHA256运算,密钥就是DEDE_FIELD_SALT与cfg_cookie_encode的拼接。HMAC的设计就是为了抵御扩展长度攻击和密钥猜测,比简单md5加salt安全得多。但这种改法对DedeCMS的兼容性影响要测——某些插件可能依赖固定md5输出长度(32字符)。
## 修复完之后还要做的收尾清单
光改代码远远不够。完整的收尾清单:
1. 轮换cfg_cookie_encode。这个值已经被认为泄漏必须改。改的时候注意所有在线会员的登录态会失效需要提前公告。新的cfg_cookie_encode可以用php -r打印bin2hex(random_bytes(20))生成40字符随机串。
2. 清理可疑账号和栏目。按上面取证拿到的特征SQL反查,凡是注册IP在异常区段、注册时间在凌晨、logintime为0的高权限账号全部禁用(设rank为0并加is_disabled标志)而不是删除——删除会丢取证证据。
3. 全站webshell扫描。用D盾或者河马扫一遍uploads、include、plus三个目录。织梦的后门常常伪装成index.php.bak、config.cache.php这种迷惑性文件名,单纯按扩展名扫不出来必须用专业的WebShell特征引擎。
4. 关闭会员中心非必要入口。如果业务上根本用不到会员投稿直接把/member/整个目录改名或加nginx拒绝规则受攻击面立刻砍掉一大半。我的客户案例里80%的中小企业站根本不需要会员投稿功能。
5. 加WAF规则。在nginx层加一条规则拦截所有包含dede_fieldshash但referer不来自本站的POST能挡掉90%的扫描器。具体写法是if判断http_referer不匹配自有域名时直接return 403。
6. 升级PHP版本。很多老织梦站还在跑PHP 5.6,建议升到PHP 7.4或8.0。新PHP版本对md5碰撞攻击有更强的防御,且性能提升40%以上。
7. 启用ModSecurity或安全狗。在Web层加CRS规则集(OWASP Core Rule Set)能拦截大部分常见的SQL注入、XSS、文件上传攻击。CRS对DedeCMS有专门的virtual patches规则集免费提供。
## 五个真实踩坑记录
坑1:盐值放在GitHub开源仓库的config文件被泄漏。某客户用GitHub管理网站代码,把DEDE_FIELD_SALT写在了纳入版本控制的config文件里。仓库公开后盐值立刻被搜索引擎索引完全失去保护作用。修复方法是把盐值放在.gitignore忽略的本地文件里通过环境变量加载或者用Git Secrets扫描确保密钥不进版本库。
坑2:CDN缓存了带旧hash的HTML页面。修复完代码但CDN边缘节点还缓存着旧hash的HTML,攻击者依然能拿到旧hash绕过新算法。修复方法是修改完代码立刻在CDN控制台执行Purge Everything刷新所有缓存或者把HTML的Cache-Control设为no-store禁止CDN缓存动态页面。
坑3:DedeCMS自动更新模块覆盖了我的修复。某客户开了DedeCMS的在线自动更新功能,更新后我的修复被官方代码覆盖回原版。修复方法是禁用自动更新(删除plus/uploadupdate.php或在后台关闭),用Git或SVN管理代码每次手动审核才合并。
坑4:备份还原导致漏洞复活。客户运维做月度备份还原测试时把6个月前的备份还原回生产,6个月前的代码没有我的修复,漏洞瞬间复活。修复方法是把所有安全补丁打成standalone脚本放在版本库,每次还原后自动执行该脚本应用全部安全补丁。
坑5:开发环境与生产环境盐值同步导致测试数据污染生产。开发同事在自己电脑上用了和生产相同的DEDE_FIELD_SALT,开发产生的测试hash意外提交到了生产数据库导致部分用户数据异常。修复方法是开发、测试、生产三套环境用完全不同的盐值,且开发环境数据库与生产物理隔离。
## 长期方案:要不要从织梦迁出去
这个问题被问过太多次。真实建议是分情况:
如果站点权重高、外链 (https://zhangwenbao.com/is-external-link-building-important-for-seo.html)多、SEO数据有积累,且团队没有二次开发能力,那就老老实实打补丁守着,严格做好上述清单里的每一项,并把整个member、plus、include三个目录设为只读(chmod 555),写权限只在发文时短暂开放。配合服务器层的SELinux或AppArmor强制访问控制能把入侵难度提升到很高。
如果站点流量本来就一般,或者有改版重做的计划,那2026年了真没必要再守织梦——我手里几个迁到Typecho的客户,半年内被扫描爆破的告警数从每天几百条降到了个位数。迁移本身也不复杂,织梦的dede_archives加dede_addonarticle两张表导出后写个脚本对应到Typecho的contents表,URL用nginx的rewrite做301平滑过渡即可。
迁移到WordPress也是常见选择,但要注意WordPress的攻击面同样不小,每年也有大量WordPress 0day。从安全角度看Typecho的攻击面最小、代码量最少,是中小企业站的理想选择。从生态角度看WordPress插件生态最丰富,对运营人员友好。从未来看Headless CMS加静态生成(如Hugo、Hexo、Astro加Strapi)的组合在新站点里越来越流行,攻击面接近于零,但学习成本高需要技术团队支持。
对一个还在跑DedeCMS的中小企业站来说,迁移决策的关键变量是未来3年是否计划新增功能。如果只是稳定输出现有内容不再扩展,原地修补是性价比最高的选择;如果有新业务(会员体系、电商、社区)要加进来,趁早迁移到现代CMS避免在老平台上叠加新坑。
## DedeCMS其他必须同步修的高危点
处理这一处之后习惯一次性补完整套清单:
plus/search.php的变量覆盖:搜索接口的keyword参数没做严格过滤,攻击者可以构造SQL注入或反射型XSS。修复是在接收keyword后立刻用addslashes加htmlspecialchars双重过滤。
plus/recommend.php的SQL注入:推荐接口的aid参数直接拼接进SQL语句。修复是把所有$_GET和$_POST取到的数字型参数强制intval转换。
include/dialog/select_soft_post.php的任意上传:管理后台的文件选择器如果Cookie验证不严,攻击者可以伪造Cookie上传任意文件。修复是在每个dialog开头加CSRF token校验。
tpl.php的模板执行:模板编辑接口可以写入任意PHP代码到模板文件触发RCE。修复是在tpl.php的文件保存逻辑前增加扩展名白名单校验只允许htm、html、css扩展名。
这几个洞被扫描器盯了快十年,跑织梦的站不补这些等于裸奔。我建议把所有这些补丁打包成一个install_security_patches.php放到根目录,部署完一键运行所有补丁同步生效。
## 常见问题解答
## 我改完代码后会员发文一直提示字段被篡改怎么办?
原因99%是输出端和校验端的md5算法没有同步。除了member/inc/inc_archives_functions.php还要去member/inc/archives_check.php以及include/arc.archives.class.php里搜dede_fieldshash,所有出现md5拼接的地方都要用同一套盐值规则改一遍。改完清空data/cache目录里的tpl_开头的缓存文件再测。如果还是失败检查PHP的magic_quotes_gpc设置某些老PHP版本会自动转义引号导致hash输入不一致。
## cfg_cookie_encode改了之后会员的登录cookie会失效PC端和移动端都要重新登录吗?
会的全部失效。这个值参与了所有cookie的加密签名。建议改的时候避开业务高峰提前在站内挂公告并且改完后顺手把cookie有效期延长一些避免短期内大量登录请求把数据库压满。如果业务对用户体验敏感可以用平滑过渡方案:保留旧cfg_cookie_encode和新cfg_cookie_encode同时存在7天,新登录用新值老cookie继续按旧值校验,7天后下线旧值。
## 能不能干脆把dede_fieldshash这个隐藏字段去掉让校验端跳过验证?
非常不推荐。这等于把CSRF防御整个拆掉攻击者可以直接构造跨站请求帮你的会员发任意内容、改任意附加字段。正确做法永远是修补签名算法而不是关闭校验。如果你嫌dede_fieldshash实现太弱可以彻底替换为现代的SameSite Cookie加双重提交Cookie模式但工作量较大需要前后端配合。
## 除了这一处DedeCMS还有哪些已知的高危点必须同步修?
对应回答见前文第九节,包括plus/search.php变量覆盖、plus/recommend.php SQL注入、include/dialog/select_soft_post.php任意上传、tpl.php模板执行四个核心高危点的具体修复方法。补充一个2024年新发现的洞:member/edit_baseinfo.php的头像上传接口绕过可以上传任意文件类型。这个洞需要单独打补丁在头像处理前用finfo_file检测真实MIME类型。还有member/buy_action.php的支付绕过和plus/erraddsave.php的XSS也建议同步修补。
## 用第三方WAF(如阿里云Web应用防火墙、Cloudflare WAF)能不打代码补丁吗?
不建议。WAF是基于已知攻击模式做特征匹配,对dede_fieldshash这种基于密钥泄漏的逻辑漏洞防御能力很弱——攻击者构造的SQL注入payload可能完全合法(看起来像正常数据),WAF的特征库匹配不到。代码补丁必须打WAF只能作为前置防线增加攻击难度。两者是叠加关系不是替代关系。
## 修复之后还需要做渗透测试验证吗?
强烈建议。修复完之后用Burp Suite手动构造一组带篡改hash的请求看服务端是否正确拒绝。Burp的Repeater模块可以反复修改dede_fieldshash值测试边界条件。也可以用sqlmap工具自动扫描验证修复有效性。如果你不会渗透测试可以请第三方安全公司做一次黑盒测试,2025年中小企业的Web渗透测试报价通常在3000到8000元。
## 升级PHP版本会破坏DedeCMS的功能吗?
有部分破坏需要适配。DedeCMS 5.7对PHP 7.4基本兼容但对PHP 8.0以上有几个已知问题:mysql_系列函数被移除导致部分老代码报致命错误(需要全局替换为mysqli或PDO)、非严格模式下的字符串与数字比较行为改变(影响某些SQL拼接逻辑)。建议升级前先在测试环境跑一遍完整功能验证,过不了的代码逐个修复。我维护过的几个客户站点从PHP 5.6升到PHP 7.4工作量约8到16人时,升到PHP 8.0需要20到40人时。
## 如果客户预算有限只能做一件事应该做什么?
把/member/目录加nginx拒绝规则。绝大多数中小企业站根本不用会员投稿功能,直接屏蔽这个目录能消除90%以上的攻击面。具体做法是在nginx的server块里加一条location ^~ /member/ 然后return 403,重新加载nginx即可生效。这个操作只要5分钟,零代码改动,是性价比最高的应急措施。其他补丁可以等预算到位后再分批完成。
## 2026年DedeCMS的官方支持还有可能恢复吗?
不会。DedeCMS的官方维护团队2018年解散后再无任何官方更新,原域名dedecms.com在2022年被卖给第三方运营,现在的站点和原作者已无关系。社区也没有形成统一的非官方维护组织(曾有几个分支项目如DedeCMSv5.7Beta但都没坚持下去)。所以从制度上看DedeCMS已经事实上死亡。如果你的站点还跑在织梦上长期方案要么自己接手当永久维护者要么趁早迁移其他CMS。
## 权威参考资料
## DedeCMS随机文章arclist实战:参数+3种性能优化
- URL:https://zhangwenbao.com/dedecms-random-access-to-articles.html
- 分类:织梦CMS教程
- 发布:2018-06-25 | 更新:2026-06-02
- 摘要:深度讲解DedeCMS arclist orderby=rand在28万行文章表上的执行计划与优化路径:weight列加索引方案完整SQL与cron、ID区间随机PHP实现、Redis集成代码、Fisher-Yates JS二次打乱与Ajax异步加载、多DedeCMS版本arclist行为差异表。
- 关键词:织梦文章调用,DedeCMS arclist,随机推荐,ORDER BY RAND
> **TLDR**:摘要:DedeCMS的arclist用orderby rand在28万行文章表上会拖垮性能。本文讲清最基本的随机调取、限定栏目、详情页随机推荐排除当前文章,再给性能优化的三条路——weight列加索引配cron、ID区间随机、Redis集成,以及静态化站点用Fisher-Yates加Ajax的假随机破解和各版本arclist行为差异。
> 摘要:DedeCMS的arclist用orderby rand在28万行文章表上会拖垮性能。本文讲清最基本的随机调取、限定栏目、详情页随机推荐排除当前文章,再给性能优化的三条路——weight列加索引配cron、ID区间随机、Redis集成,以及静态化站点用Fisher-Yates加Ajax的假随机破解和各版本arclist行为差异。
保哥从2014年开始用织梦DedeCMS给客户搭企业站、地方门户、行业资讯站,最高峰同时维护过十几个DedeCMS项目。在这些项目里,首页随机推荐、文章详情页底部猜你喜欢、侧栏热门几乎是标配,而最稳妥、最不依赖插件的实现办法,就是用DedeCMS自带的arclist标签配合 orderby='rand' 参数来随机抓取。
这篇笔记把我这些年在生产环境用过的所有姿势整理成一份可直接复制粘贴的速查手册:从最基础的随机10篇文章,到限定栏目、限定缩略图、控制摘要长度、避免抓到当前文章本身,再到大数据量下随机抓取的性能问题,全部覆盖。文末附 8 条常见 FAQ。
## 最基本的随机调取写法
这是最常用的版本,调10篇文章的标题,按随机方式排序:
{dede:arclist pagesize='10' titlelen='35' orderby='rand'}
[field:title/] [field:title/]
[field:title/]
[field:description function='cn_substr(@me,80)'/]
{/dede:arclist}
- infolen='80':摘要长度,单位还是字节。
- imgwidth 和 imgheight:DedeCMS在生成缩略图链接时会按这个尺寸返回缩略图路径,配合CSS里的 object-fit: cover 排版会更整齐。
- [field:description function='cn_substr(@me,80)'/]:用 cn_substr 强制按汉字截断,避免半个字符的乱码。
如果某些文章压根没传缩略图,渲染出来会是空 src,影响用户体验。保哥通常会在 arclist 标签里加一个判断,没缩略图的就用占位图:
[field:litpic runphp='yes']if(empty(@me)) @me='/images/placeholder.png';@me=@me;[/field:litpic]
## 详情页随机推荐排除当前文章
你有没有遇到过这种尴尬:详情页底部的随机推荐里,第一个就是用户当前正在看的这篇?解决办法是在 arclist 上加 notypeid 或者直接利用 idlist 排除当前 aid:
{dede:arclist pagesize='6' titlelen='30' orderby='rand' idlist='~aid~' notid='yes'}
[field:title/] [field:title/] ${x.title} ]+>)/is';
$search1 = '/(]+>)/is';
$search2 = '#()#i';
$search3 = '#()#i';
$content = preg_replace($search, '$1$3', $str);
$content = preg_replace($search1, '$1$3', $content);
$content = preg_replace($search2, '$1$2', $content);
$content = preg_replace($search3, '$1$2', $content);
@me = $content;
{/dede:field.body}
四条正则分别在做这些事:
- $search:匹配并去掉 当成标签分界,直接写 {
entries.forEach((e) => {
if (e.isIntersecting) {
const img = e.target;
img.src = img.dataset.src;
io.unobserve(img);
}
});
}, { rootMargin: '200px' });
document.querySelectorAll('.article-content img[data-src]').forEach((i) => io.observe(i));
保哥实测下来,这一套组合拳打完,手机端首屏图片字节数能压到原来的 30%-40%,LCP 在 4G 下基本能稳定在 2 秒内。如果服务器走的是 HTTP/2 或 HTTP/3、再叠加 WebP/AVIF 格式自动协商,首屏 LCP 还能再砍 200~400ms。
有一点需要提醒:原生 loading="lazy" 属性其实在 2026 年已经被全部主流浏览器支持,理论上你可以在正则里直接给 多源标签等更复杂的改写,那 DOMDocument 才是正确选择,正则会很快变成不可维护的怪物。
## 常见问题解答
Q1:用了 runphp=yes 之后页面 500 怎么办?
先检查模板文件编码,必须 UTF-8 无 BOM。然后到 /data/tplcache/ 把对应缓存文件删掉,让 DedeCMS 重新解析模板。如果还是 500,打开 /include/common.inc.php 顶部把错误显示打开看具体行号,多半是引号或转义出问题。最后确认服务器 PHP 版本,DedeCMS 5.7 SP2 在 PHP 8.0+ 上 runphp 解析器有些函数会被 deprecate,建议保留 PHP 7.4 跑老站。
Q2:替换之后图片虽然不溢出了,但宽高比变形了怎么办?
检查 CSS 有没有写 height: auto,缺这一句浏览器就不会按比例缩放。还有一种情况是父容器有 display: flex + align-items: stretch,图片会被拉成容器高度,把对齐方式改成 flex-start 即可。第三种情况是站点同时启用了 lazysizes 之类的库,它会临时给图片设 data-aspectratio,跟 height: auto 撞车,需要在它的初始化参数里关掉自适应。
Q3:为什么有些文章图片还是溢出?
大概率是文章里用了 嵌套图片,CSS 选择器只覆盖了 .article-content img 没覆盖到表格里。补一条 .article-content table { max-width: 100%; } 一般就好了。还有一种情况是图片用了 包裹,记得给 figure 也加 max-width: 100%。再深一层就是 iframe 嵌入的视频或地图,那需要额外的响应式包裹层 .video-wrapper。
Q4:我想让 PC 端保留宽高、只在手机端抹掉,可以吗?
完全可以,这套 runphp 方案本来就只放在手机模板里。如果你的手机端是和 PC 端共用模板靠 CSS 媒体查询区分的,可以改成在 PHP 里判断 User-Agent:检测到移动设备再执行正则替换,PC 直接 @me = $str; 跳过。逻辑大约 5 行代码就能写完。更优雅的做法是写一个全局插件,在 arc.archives.class.php 里基于 $GLOBALS['cfg_ismoblie'](DedeCMS 内部是否移动端的标志位)来分流。
Q5:替换会不会影响 SEO 收录?
不会。Googlebot (https://zhangwenbao.com/googlebot-crawl-limits-2mb-deep-analysis.html) 渲染页面时执行的是最终 HTML,runphp 改写过的 也跟着变,提交给搜索引擎后看起来像全站大幅更新,触发不必要的重新抓取,浪费爬虫预算(Crawl Budget);
- 影响RSS订阅:所有订阅器会把这篇文章当作新发布重新推送给读者,造成"已读再次推送"的体验问题。
所以保哥的做法是:分两个字段管理,pubdate 锁死为首发时间,senddate 或者新增一个 lastedit 字段记录最近编辑时间,前后台展示按需取用。本文先讲怎么把默认行为关掉,下一节再讲扩展玩法。
## 定位关键文件 archives_edit.htm
要修改的文件路径是:
/dede/templets/archives_edit.htm
注意这里的 /dede/ 是后台管理目录,很多站长会改名(建议改名,能挡掉90%的扫描器),如果你的后台目录是 /admin123/,那路径就变成 /admin123/templets/archives_edit.htm。
这个文件本质上是文章编辑页的模板,DedeCMS的后台模板和前台模板是两套不同的引擎,后台模板里夹杂了大量原生PHP代码——PHP标签直接嵌在HTML里。我们要修改的就是其中一行PHP代码。
用SSH或FTP把文件下载下来,搜索关键字 nowtime:
grep -n "nowtime" /www/wwwroot/example.com/dede/templets/archives_edit.htm
应该能看到类似这样的输出:
42:
行号会因子版本不同略有差异,但格式是固定的。如果你用的是DedeBIZ或者其他二开版本,搜索关键字保持不变也能定位到。
## 核心修改:一行代码搞定
原代码:
这句的意思是:调用 GetDateTimeMk() 把当前时间戳格式化成织梦能识别的日期字符串,赋值给 $nowtime,然后在表单里作为发布时间字段的默认值显示出来。
保哥的修改方案是:
关键变化是 time() 换成了 $arcRow["pubdate"]。这里的 $arcRow 是织梦在加载编辑页前从 dede_archives 表里读出来的当前文章原始数据,pubdate 字段就是这篇文章首次发布时的Unix时间戳。把它直接传给格式化函数,就能让编辑页表单里显示的发布时间和数据库里存的首发时间一致。
保存后保哥编辑任何一篇老文章,进入编辑页 → 直接点最下方的确定按钮 → 不修改时间字段 → 提交,pubdate字段在数据库里就纹丝不动了。
整个修改只动了一个函数参数,对其他逻辑零侵入,是最干净的修法。如果你的版本里没有 $arcRow(少数极老版本),可以替换成 $row、$data 等同等含义的变量名,原理一样。
## 配合后端逻辑确保万无一失
第三节的修改只是改了编辑页表单的默认显示,理论上只要管理员不去主动改时间字段,提交回去也就是同一个时间。但保哥实测过一种边缘情况:如果你的浏览器开了某些表单自动填充插件,或者你的同事手抖点了设为当前时间的小按钮,pubdate还是会被覆盖。
所以保哥的做法是再加一道后端保险——直接修改 /dede/article_edit.php,把保存时的pubdate写入逻辑也锁死。找到这一段:
$pubdate = GetMkTime($pubdate);
在它前面或后面加一行:
// 强制保留首发时间,注释掉本行可恢复默认行为
$pubdate = $arcRow["pubdate"];
这样无论前端表单提交了什么时间值,最终落库的还是原始pubdate。如果你希望某些文章可以手动改时间,可以加一个判断条件,比如只有当用户勾选了强制更新发布时间复选框时才执行覆盖。完整带开关的逻辑:
if (!isset($_POST['keep_pubdate']) || $_POST['keep_pubdate'] != '1') {
// 用户没勾"强制更新",保留首发时间
$pubdate = $arcRow["pubdate"];
} else {
// 用户主动勾选了,按表单提交的时间走
$pubdate = GetMkTime($pubdate);
}
这种带开关的写法是保哥给客户做生产部署时的标准方案——既保证了默认安全(不会误改),又给运营留了灵活操作的口子。
## 扩展玩法:分离"发布时间"和"最近编辑时间"
保哥经手的稍微大一点的内容站,都会做一个改进:在文章表里新增 lastedit 字段,专门记录最近一次编辑时间,前台模板里同时展示两个时间。
## 新增字段
ALTER TABLE dede_archives ADD COLUMN lastedit INT(10) NOT NULL DEFAULT 0 COMMENT '最近编辑时间戳';
-- 把现有数据初始化为pubdate的值,避免显示1970-01-01
UPDATE dede_archives SET lastedit = pubdate WHERE lastedit = 0;
## 在 article_edit.php 的保存逻辑里写入
找到执行UPDATE的位置,把 lastedit 加进去:
$query = "UPDATE `dede_archives` SET
title = '$title',
pubdate = '$pubdate',
lastedit = " . time() . ",
sortrank = '$sortrank'
WHERE id = '$id'";
## 在前台模板里调用
用织梦的自定义字段标签:
首发:{dede:field name='pubdate' function='strftime("%Y-%m-%d",@me)'/}
最近更新:{dede:field name='lastedit' function='strftime("%Y-%m-%d",@me)'/}
这样首页和列表页继续按pubdate排,但文章详情页能展示最近更新,对用户和搜索引擎都更友好。
## 让 sitemap 改用 lastedit
找到sitemap生成脚本(一般是 /plus/sitemap.php 或 /data/sitemaps/ 下的生成器),把 改成读 lastedit:
是否仍然是原值(如果你按第五节加了lastedit字段,可以让sitemap改用lastedit)。
第六步:用Google Search Console (https://zhangwenbao.com/domain-property-vs-url-prefix-property-in-gsc-which-is-better.html)的URL检查工具实际抓一次这个URL,看渲染后页面里的JSON-LD时间字段是否符合预期。
六步全过,才算这次修改稳了。如果有任何一步异常,逐个回退到上一步定位问题。
## 版本兼容性与升级注意
这套修改在DedeCMS 5.7、5.8、DedeBIZ各版本下都验证过,行号略有差异但函数名和字段名都一致。一些特殊情况:
- DedeCMS V5.7 SP2:archives_edit.htm 里的nowtime定义在第38到45行之间,找到后按本文方案修改即可。
- DedeBIZ 6.0+:DedeBIZ对编辑页做了Vue化重构,前端表单从API取数据,需要同时修改后端 /admin/api/archives_edit.php。
- UTF8与GBK版本:核心逻辑完全一致,只是文件编码不同,修改时注意保存时不要改变原编码(用Sublime或VSCode打开时确认右下角编码标识)。
- GBK版本:保存为GBK需要确保编辑器没有BOM,否则会引发"Headers already sent"错误。
升级DedeCMS时这个修改会被覆盖。保哥的标准做法是把所有自定义修改记录在一个 patch.md 文档里,每次升级后照着清单重新打一遍。如果你用git管理代码,更优雅的做法是把每个补丁做成独立commit,升级后cherry-pick即可。
## 保哥的踩坑案例
2019年帮一个汽车配件B2B站做SEO诊断,客户反馈"我家文章发布的时候排名挺好,过几天就掉下去了"。保哥拿Google Search Console一看,每篇文章的Last Crawled时间和pubdate都对得上——说明每次客户编辑文章(修改产品参数、补充图片),pubdate都被刷新了,Google把它当作"新发布的内容"重新评估,但这些"新发布"的内容其实没有真正的内容增量,于是被Freshness算法降权。给客户上了本文的方案后,三个月内整站平均排名提升了 17 个位置,这个项目让保哥彻底意识到 pubdate 锁定对老站SEO的重要性。
另一个案例是2021年某个本地生活资讯站,编辑团队习惯每篇文章发布后多次微调,结果首页永远是"今天编辑的几篇"占据,真正的新闻爆款被压在第二屏。保哥引入双时间字段后,首页严格按pubdate排,编辑动作不影响排序,编辑团队反馈"现在终于能放心改文章了"。
## 应急回滚方案
万一改完上线之后发现有问题(极少见,但保哥的工程习惯是任何变更都要有回滚预案),按以下顺序回滚:
- 恢复 archives_edit.htm:从备份目录或者DedeCMS官方包里复制一份原始文件覆盖回去;
- 恢复 article_edit.php:把第四节加的"强制保留首发时间"那行注释掉或删除,恢复到执行 GetMkTime 的默认逻辑;
- 清后台缓存:DedeCMS后台 → 系统 → 系统设置 → 更新缓存,避免旧编译模板继续生效;
- 验证:编辑任意一篇测试文章,确认编辑页发布时间字段又恢复成了"当前时间"默认填充。
如果你按第五节加了 lastedit 字段,要回滚整个双时间字段方案,按反向顺序:先把模板里的 lastedit 调用去掉,再删除数据库字段(或保留字段但不再使用)。删字段的SQL是 ALTER TABLE dede_archives DROP COLUMN lastedit;,注意先备份。
保哥的实战经验:从来没有真正用过这套回滚预案,但每次部署生产前都会把回滚步骤写在工单里、贴到团队飞书群。有备无患是工程的基本素养,特别是在动后台核心文件的时候。
## 保哥的部署 SOP
给客户做这套修改时,保哥的标准 SOP 是:
- 测试环境先复制一份生产数据库和文件;
- 测试环境按本文方案修改并跑完六步验证;
- 把修改前后的文件 diff 输出保存到工单;
- 选业务低峰期(凌晨2点到4点)部署到生产;
- 部署前打 mysqldump 全量备份,文件备份打 tar.gz;
- 部署后立刻在生产环境复测六步验证;
- 持续监控 7 天,看是否有用户反馈或后台报错;
- 7天没问题后归档工单,关闭变更窗口。
这套 SOP 看起来繁琐,但对于运营了多年、流量上万的内容站来说,每一步都是在防止"小改动引爆大事故"。
## 常见问题解答
## 改完之后所有老文章的时间会怎么样?
不会动。这个修改只影响未来再次编辑文章时的行为,已经存在于数据库里的pubdate维持原样。如果你想批量把已经被刷掉的pubdate修回去,需要从备份里找数据,或者从senddate字段(部分版本里这个字段保留了首发时间)里恢复。具体SQL:UPDATE dede_archives SET pubdate = senddate WHERE pubdate > senddate; 注意先备份再执行。
## 升级DedeCMS时这个修改会被覆盖吗?
会。织梦的版本更新本质上是覆盖文件,所有手动改过的核心文件都会被覆盖回原版。保哥的建议是把所有自定义修改记录在一个patch笔记里,每次升级后照着清单重新打一遍。或者使用git管理整个站点目录,升级前先git stash,升级后git stash pop解决冲突。如果是大型团队,建议把所有patch做成shell脚本一键应用,避免人工漏打。
## 会不会影响DedeCMS的伪静态或者静态生成?
不会。pubdate影响的是文章URL中的日期段(如果你的伪静态 (https://zhangwenbao.com/tools/rewrite-generator.php)规则用了Y/m/d这种),但只要pubdate不变,URL就不会变,已生成的静态文件也不需要重新生成。如果你的修改是让pubdate始终保留首发时间,反而能避免URL漂移这种糟糕的SEO事故。如果你担心,可以在改之前先备份一遍 /a/ 目录(生成的静态HTML),改完后对比文件modified时间是否有异常变化。
## 如果只想偶尔保留首发时间,平时还是按当前时间,怎么做?
做一个开关。在archives_edit.htm里加一个checkbox:
优点:极其简单,无需懂 DedeCMS 模板;缺点:依赖 JS(无 JS 用户看到默认图),且 onerror 触发时机有时不可控。
## 方法 E:把默认图本身做成透明 SVG
最优雅但最少人想到的方案——把 /images/defaultpic.gif 替换成 1×1 透明 PNG 或空白 SVG。这样 PHP 层 if 判断照样跑,模板里拿到的是"看起来空"的图。配合 CSS 的 img:empty 或 img[src=""] 选择器隐藏 dt。
/* 1×1 透明的图片自动隐藏父级 dt */
.thumb img[src*="defaultpic"] {
display: none;
}
.thumb:has(img[src*="defaultpic"]) {
display: none; /* 父级也隐藏(CSS :has 在现代浏览器支持) */
}
优点:纯 CSS,无 JS 依赖,无需改模板;缺点:需要 CSS :has 选择器支持(2023 年起所有现代浏览器支持)。
## 各方案性能对比
方案 | 每篇文章额外开销 | 适用场景 |
A 改源码 + 模板判断空 | 0(无 runphp) | 能改源码的项目 |
B 模板识别 defaultpic | ~0.05ms(runphp + strpos) | 不能改源码 |
C [field:array] 完整版 | ~0.1ms(runphp + 数组访问) | 需要访问多字段 |
D JS onerror | ~5ms(DOM 操作) | 急救快速上线 |
E CSS :has | ~1ms(选择器匹配) | 现代浏览器项目 |
对中等规模站点(单页 20 条文章),方案 A/B/C/E 都在 1-5ms 总开销内,肉眼无差。方案 D 因为是浏览器端事件触发,会有轻微闪烁(默认图加载失败再隐藏)。
## 跨 DedeCMS 版本兼容
不同版本里 arc.listview.class.php 的关键行号略有差异:
版本 | 判定缩略图的代码位置 | 默认图路径 |
DedeCMS V5.6 | ~ 第 845 行 | /images/defaultpic.gif |
DedeCMS V5.7 | ~ 第 875 行 | /images/defaultpic.gif |
DedeCMS V5.7 SP1 | ~ 第 880 行 | 同上 |
DedeCMS V5.7 SP2 | ~ 第 891 行 | 同上 |
DedeBIZ V6.x | ~ 第 905 行 | 同上 + 后台可配置开关 |
所有版本的判定逻辑和默认图路径基本一致,本文写的几种方案在所有版本都通用。DedeBIZ 已经在后台加了"无图时是否显示默认图"的开关,新装站点可直接走 DedeBIZ 省掉模板改造。
## SEO 影响考量
"无图不显示" 这个改造对 SEO 的影响:
## 用户体验提升
整页布局更美观——无图的文章不会出现破碎的灰色占位,列表页视觉一致性提升,用户停留时间 (https://zhangwenbao.com/user-behavior-signals-reshaping-seo-dwell-time-bounce-rate.html)和点击率多数会上升 5-15%。这是 Google Core Web Vitals 之外的"用户行为信号",间接帮排名。
## 不要把所有图都隐藏
如果站点 70% 文章都没图,列表页就变成"几个图 + 大片空白"——视觉不平衡。这种情况建议:① 给文章批量补封面图(用首图自动提取或 AI 配图);② 改用纯文本列表,不展示缩略图位。
## 与 lazy load 协同
显示出来的缩略图加 loading="lazy":
]+src=[\'"]([^\'"]+\.(?:jpg|jpeg|png|webp))[\'"]/', $row['body'], $m)) {
$litpic = $m[1];
// 转相对路径
$litpic = preg_replace('#^https?://[^/]+#', '', $litpic);
$db->ExecuteNoneQuery("
UPDATE dede_archives SET litpic = '$litpic' WHERE id = {$row['id']}
");
$updated++;
}
}
echo "更新 $updated 篇文章的 litpic\n";
这段代码跑完之后大部分历史文章会有 litpic——配合本文的 "无图不显示" 改造,列表页视觉效果会大幅提升。
## 配套生成缩略图
从正文提取的图通常是原始大图(比如 1920×1080),直接用作缩略图浪费带宽。建议同时生成对应的小尺寸缩略图:
// 配合本文的 image.helper.php 改造,对每张回填的 litpic 生成 240×160 缩略图
require_once 'include/helpers/image.helper.php';
$thumb_dir = '/uploads/thumbs/';
foreach ($rows_with_new_litpic as $row) {
$original = DEDEROOT . $row['litpic'];
$thumb_path = DEDEROOT . $thumb_dir . basename($row['litpic']);
if (!file_exists($thumb_path)) {
ResizeImg($original, $thumb_path, 240, 160);
}
// 回写到 litpic 字段为缩略图路径
}
## 和图片 SEO 联动的最佳实践组合
"无图不显示" 是单点优化。配合下面几个改造能让 DedeCMS 列表页 SEO 提升一个量级:
- 给每张缩略图加完整 alt:alt 用 [field:title/] 或更精准的 [field:description/];
- 用 WebP 格式替代 JPG / PNG:体积减小 25-40%,加载更快;
- 缩略图 lazy load:loading="lazy" 让首屏外的图延后加载;
- 生成 image sitemap (https://zhangwenbao.com/wordpress-free-plug-in-automatically-updates-sitemap-xml.html):在 sitemap.xml 里加 image:image 节点,让 Google 图片搜索能发现;
- 缩略图 URL 含语义:用 {文章标题拼音}-thumb.webp 而不是 1234567890-thumb.jpg;
- 响应式图片:用 srcset 给不同屏幕给不同大小的图:
'.$r['webname'].' ';
}
return $out;
}
}
第二个是mytypelist自定义栏目列表函数。这个函数被很多企业站用来在首页输出指定栏目的最新文章,覆盖之后会导致首页大半个屏幕空白:
if (!function_exists('mytypelist')) {
function mytypelist($typeid, $row = 10)
{
global $dsql;
$sql = "SELECT id,title,filename FROM dede_archives WHERE typeid='$typeid' AND arcrank>-1 ORDER BY id DESC LIMIT $row";
$dsql->SetQuery($sql);
$dsql->Execute();
$out = '';
while($r = $dsql->GetArray()){
$url = '/plus/view.php?aid='.$r['id'];
$out .= ''.$r['title'].' ';
return $out;
}
}
第三个是getauthor作者信息函数。多作者站点经常用这个函数在文章页输出作者头像、简介、文章总数等,覆盖后文章页底部会缺一大块:
if (!function_exists('getauthor')) {
function getauthor($writer)
{
global $dsql;
$sql = "SELECT * FROM dede_member WHERE userid='$writer'";
$dsql->SetQuery($sql);
$dsql->Execute();
$r = $dsql->GetArray();
if (!$r) return '';
return '作者:'.$r['uname'].',文章数:'.$r['articles'];
}
}
把这三个函数加上前面的listtag一起放在include/common.func.php末尾,或者更优雅一些,单独放在include/custom.func.php里再require_once进来。保哥强烈推荐后一种做法,下面的“长期防护”一节会展开讲。
## 系统性排查升级后失效的其他自定义函数
光修一个listtag不一定够。保哥处理过的一个站,补丁覆盖之后总共少了七个自定义函数,包括TAG调用、附件批量统计、友链分组输出等等。一次性排查完,比每次报错再补一个要省心得多。
排查的思路是:把当前的common.func.php、extend.func.php与升级前的备份做diff。Linux服务器上直接用diff命令:
diff /backup/2025-03-30/common.func.php /www/wwwroot/site/include/common.func.php
Windows本地可以用VSCode的Compare Selected或者Beyond Compare。把备份里多出来的、官方版本没有的自定义函数全部提取出来,整段追加回新版的common.func.php末尾。
如果你没有升级前的备份,也可以从模板里反向找。打开templets/default下所有.htm模板,搜索function=',把所有引用过的函数名收集起来,再去common.func.php与extend.func.php里逐个确认是否存在;不存在的就是被覆盖掉的,需要从社区找回标准实现或者按需重写。
## 修复后回归验证的完整流程
代码追加完之后不要急着关闭文件,按下面的顺序做一次完整回归,避免修了A又坏了B这种连锁反应。
1. 后台-系统-系统基本参数-保存(强制刷新缓存)
2. 后台-生成-更新系统缓存
3. 后台-生成-更新主页 HTML
4. 后台-生成-更新栏目 HTML(勾选 全部栏目)
5. 后台-生成-更新文档 HTML(勾选 全部文档)
6. 前台抽查首页、栏目页、文章页各一篇,确认无 PHP 报错
7. 用 curl -I 抓三个文章页响应头,确认返回 200 且 Content-Type 正常
保哥自己的习惯是在第6步打开浏览器开发者工具的Network面板,刷新文章页,逐项查看是否有4xx或5xx资源;在第7步用命令行curl -I https://example.com/news/123.html检查响应头,避免页面看着正常其实是缓存的假象。
如果某一步还是报错,错误信息会直接回写到PHP错误日志,定位起来比之前容易得多——因为现在大头的listtag已经修好了,剩下的报错往往是另一两个自定义函数没回归到位,按同样思路再补就行。
## 长期防护:避免下次升级再次踩坑
这件事的根本解法不是“下次再修”,而是“下次不再坏”。保哥结合自己的运维经验给出三条长期防护建议。
第一,把所有自定义函数集中到一个独立文件,比如include/custom.func.php,再在common.func.php末尾通过require_once引入。这样升级补丁覆盖common.func.php时,你的自定义文件原封不动。
// 在 common.func.php 文件末尾追加
if (file_exists(DEDEINC.'/custom.func.php')) {
require_once(DEDEINC.'/custom.func.php');
}
第二,在升级前一定要做版本快照。宝塔面板有“网站快照”,云服务器有“实例快照”,本地也可以用tar -czf命令打包整站。十分钟的备份能省下两小时的修复时间,绝对划算。
第三,认真评估是否真的需要升级。织梦官方早已经停止常规维护,所谓的在线补丁很多时候只是社区或第三方修补的安全补丁。除非补丁明确修复了高危漏洞,否则保哥更倾向于保留稳定版本,只针对漏洞做精准热补,避免大面积覆盖文件带来的连锁问题。
## Dede升级补丁的安全策略与替代方案
这一节保哥单独把“补丁是否值得打”这件事讲透。织梦自从2021年商业授权风波之后,官方基本停止了主线维护,市面流传的所谓“在线补丁”绝大多数来自第三方或者社区分支,质量参差不齐。盲目升级带来的破坏力,往往比补丁修复的漏洞本身更严重。
保哥给客户的标准建议是分级处理:高危漏洞(远程代码执行、SQL注入、任意文件上传)必须打,但优先选择官方安全公告里点名修复的精准补丁,而不是整包覆盖;中低危漏洞(XSS、信息泄漏)可以延后,先用Nginx层的WAF规则或宝塔防火墙做临时拦截;非安全类的功能更新(界面优化、新插件)基本不打,因为收益远低于风险。
另外一个替代方案是迁移到现代CMS。如果你的Dede站点流量稳定但维护成本越来越高,可以考虑迁移到Typecho、WordPress或者Headless方案(如Strapi + Next.js)。保哥帮过几位老客户做迁移,平均成本是站点规模100篇文章约5000元、1000篇文章约2万元,迁移之后再也不用每次都和这种“升级即崩”的故事抗争。
但如果实在不想动主站,至少做好以下三件事:站点放进Cloudflare做基础DDoS (https://zhangwenbao.com/wordpress-ddos-protection-guide.html)和WAF防护、PHP版本停在7.4不要升级到8.x(Dede很多代码在8.x上直接报错)、数据库定期异地备份(建议每天一次增量、每周一次全量)。这三件事做齐,老Dede站再战三五年完全没问题。
## 一个真实排查案例:从凌晨两点到清晨六点的修复全过程
保哥前年帮一位做地方门户的朋友处理过一次比较棘手的事故。事情起因是他听说织梦有一个新的安全补丁可以堵SQL注入漏洞,半夜十一点自己点了在线升级,过了几分钟就发现首页打不开、栏目页502。他凌晨两点联系到我的时候已经焦头烂额,因为站点白天有大量推广流量进来,第二天上午就要开会跟广告主对账。
我接入服务器之后,第一步先把站点切到维护页面,避免持续返回5xx影响搜索引擎抓取频次。第二步打开PHP错误日志,立刻看到一连串Call to undefined function错误,包括listtag、flink、mytypelist三个函数。第三步对比客户提前一个月做的整站快照,把这三个函数的实现从老common.func.php里抠出来,按照本文前面的“集中到custom.func.php”方案重新部署。
第四步是回归生成。我先生成栏目HTML,跑完没有报错;再生成文档HTML,发现还有一个getauthor函数缺失,回头继续从快照里补上。第五步关闭维护页面,前台访问几篇热门文章确认正常,再把站点重新提交搜索引擎抓取。
整个过程从凌晨两点到清晨六点,正好赶在客户开会之前修完。这次事故让我和客户都意识到一件事:不是所有补丁都值得升级,特别是对一个流量已经稳定的老站来说,“不动可能比动更安全”。从那以后他规定:任何升级动作必须先在测试环境跑一周,且必须有完整快照备份,否则一律不上线。这条规矩到今天还在执行。
## 升级前必须建立的运维清单
借这次案例的教训,保哥后来把Dede升级流程整理成一份运维清单,分享给大家:
1. 升级前 24 小时:完整备份网站文件 + 数据库
2. 升级前 12 小时:克隆一份到测试环境跑全流程
3. 升级前 1 小时:截图记录当前关键页面、关键 SQL 表结构
4. 升级时:开维护模式、记录开始时间
5. 升级后立即:刷错误日志、跑首页 + 三个栏目 + 五篇文章的回归
6. 升级后 30 分钟:观察 PHP-FPM 进程数、MySQL 慢查询日志
7. 升级后 24 小时:检查搜索引擎抓取日志、流量监控数据
按这份清单走一遍,再大的事故都能在可控范围内被发现并回滚,比起“点了升级然后祈祷一切正常”要踏实得多。
## 常见问题解答
## 补丁覆盖之后没有备份能恢复成升级前的版本吗
如果服务器开启了快照或者宝塔自动备份,可以直接回滚整站文件。如果什么备份都没有,只能从社区下载与原版本号对应的官方包,再把数据库表结构对照一下;这条路风险高,强烈不建议在生产环境裸跑,最好先在测试环境验证。补救前一定要先把当前损坏状态的文件再次备份一份,万一回滚也失败还能回到现在的“半坏”状态做下一轮排查。
## PHP版本是8.1按这篇文章加listtag之后还是报错怎么办
PHP 8.x对Dede这种基于过时写法的代码并不友好,常见的会报MYSQL_ASSOC未定义、each函数已移除等等。建议用MYSQLI_ASSOC替换MYSQL_ASSOC,或者在不影响业务的前提下把站点PHP切回7.2/7.4,这是Dede兼容性最好的版本区间。如果业务上必须停留在PHP 8.x,建议把所有自定义函数里涉及mysql_*的全部改成mysqli_*,工作量不小但是一劳永逸。
## 升级后文档HTML能生成但栏目HTML还是空白怎么办
这种情况大概率是栏目模板里调用了未定义的自定义函数,比如flink、mytypelist之类。打开对应栏目的模板(默认是templets/default/list_article.htm与index_article.htm),搜索function=,把里面引用的所有函数名挨个核对一遍是否存在于公共函数库。另一种可能是栏目缓存没刷,先去后台“生成-更新系统缓存”跑一遍再重试。
## 有没有办法一次性看出补丁覆盖了哪些文件
升级前后做一次整站MD5快照对比就能看出来。Linux下命令是find . -type f -name *.php -exec md5sum {} \; | sort > before.txt,升级后再跑一次得到after.txt,diff before.txt after.txt输出的差异行就是被覆盖或新增的文件清单。保哥每次帮客户做大版本升级前都会跑一遍这个流程,省去后续无穷无尽的猜谜。
## 能不能完全跳过Dede在线升级机制自己手动patch
可以而且推荐。在线升级机制本身就是个隐患,因为它会盲目覆盖文件。手动patch的标准做法是:拿到官方或社区发布的diff文件(通常是一组PHP文件加上一份说明),自己对照备份逐个文件做合并;如果不会合并代码,可以请熟悉PHP的开发协助。手动patch的好处是清楚每一行改了什么,出问题能精准定位。保哥维护的几个核心客户站全部是这种手动patch模式,已经三年没出过一次升级事故。
## Dede升级失败之后SEO收录数据会不会受影响
短时间(24小时以内)的5xx错误对SEO影响有限,搜索引擎会自动重试。但如果错误持续超过48小时,Googlebot (https://zhangwenbao.com/googlebot-crawl-limits-2mb-deep-analysis.html)会大幅降低抓取频率,Bing也会标记网站为不可用。所以发现故障第一时间一定要切维护页面(返回503 Retry-After头而不是502/500),告诉搜索引擎我在维护稍后再来,这样能最大程度保护排名。修复完之后立刻去Google Search Console (https://zhangwenbao.com/domain-property-vs-url-prefix-property-in-gsc-which-is-better.html)和必应站长工具提交sitemap (https://zhangwenbao.com/tools/sitemap-generator.php)强制重新抓取。
## 写在最后
织梦的故事到今天已经接近尾声,但它留给互联网世界的是大量仍在线的老站点和经验丰富的运维社群。每次遇到“升级补丁后无法生成HTML”这类问题,保哥的态度都是把它当作一次系统加固的机会:不仅修复表面错误,还顺手把自定义函数集中、备份机制完善、回归流程标准化。这样即使将来再遇到类似事故,也能在半小时内定位、一小时内恢复,而不必像最初那样在凌晨四点对着报错信息抓狂。希望这篇排查记录能帮你把同样的弯路走得更短一些。
## 织梦DedeCMS文章命名规则怎么批量改才利于SEO
- URL:https://zhangwenbao.com/dedecms-batch-modify-article-naming-rules.html
- 分类:织梦CMS教程
- 发布:2017-03-03 | 更新:2026-06-01
- 摘要:织梦想批量改文章命名规则做SEO,得改两个文件。本文详解common.inc.php第251行与catalog_add_quick.htm第190行的改法、全站重新生成的五步骤、Apache和Nginx的301跳转规则、五个常见踩坑和一个1.2万篇的实战案例。
- 关键词:301跳转,织梦批量修改,DedeCMS,DedeCMS SEO,URL重写
> **TLDR**:摘要:织梦默认的日期型URL对SEO不友好,正在拖垮收录。本文讲清为什么不友好、改前的三项准备,给出改common.inc.php第251行与catalog_add_quick.htm第190行的同步改法、改完必做的全站重新生成与校验、Apache和Nginx的301跳转保收录,再附五个常见踩坑和一个从日均200UV做到800UV的真实改造案例。
> 摘要:织梦默认的日期型URL对SEO不友好,正在拖垮收录。本文讲清为什么不友好、改前的三项准备,给出改common.inc.php第251行与catalog_add_quick.htm第190行的同步改法、改完必做的全站重新生成与校验、Apache和Nginx的301跳转保收录,再附五个常见踩坑和一个从日均200UV做到800UV的真实改造案例。
## 写在前面:默认日期URL正在拖垮你的SEO
保哥从2010年左右开始接触织梦DedeCMS,那时候手里同时维护着十几个企业站和资讯站,几乎清一色都是用Dede搭起来的。最让保哥头疼的不是模板,也不是栏目结构,而是它默认的URL命名规则——只要新建一个栏目,文章页就被强行塞进年月日的目录里,URL层级 (https://zhangwenbao.com/impact-of-hierarchical-urls-on-seo.html)一深,搜索引擎抓取效率立刻打折扣,关键词权重也被稀释得稀里哗啦。
这篇文章就把保哥自己反复用过十几次、踩过坑也修补过坑的批量修改命名规则方案完整记下来,希望能帮到还在用Dede维护老站的朋友。所有步骤在保哥本地的DedeCMS 5.7 SP2 UTF8、DedeCMS 5.8、DedeBIZ三套环境上实测过,差异点会单独标出。
## 不同URL结构对SEO的量化影响
先用一张表展示不同URL结构在SEO上的差异,这是保哥实测多个站点后的统计:
URL结构 | 典型示例 | 层级 | SEO评分 | 适用 |
纯日期型(Dede默认) | /news/2017/0303/123.html | 5层 | 差 | 历史遗留站点 |
栏目+ID(推荐) | /news/123.html | 2层 | 优 | 新发布的Dede站 |
栏目+slug | /news/article-name.html | 2层 | 最优 | 双语或外贸站 |
纯slug | /article-name.html | 1层 | 优(小站) | 博客类小站 |
栏目+ID+slug | /news/123-article-name.html | 2层 | 最优 | 需双重唯一性的中型站 |
## 为什么织梦默认URL规则对SEO不友好
要解决问题,先得明白问题出在哪里。织梦默认的命名规则是{typedir}/{Y}/{M}{D}/{aid}.html,转成实际地址就是类似/news/2017/0303/123.html这种五层目录的形态。从SEO视角看,这种结构有三个明显短板。
## 短板一:层级冗余
Google与百度的爬虫虽然不会因为目录深就拒绝抓取,但会按URL深度评估页面在站点结构中的相对重要性。一个文章页被埋在第五层目录,就比同样内容放在第二层的页面更难获得首页传递过来的权重。保哥实测过的数据:同一篇文章在2层URL下的Google排名平均比5层URL高出8到15个位次。
## 短板二:日期目录干扰主题相关性
2017/0303这种纯日期片段对关键词没有任何贡献,反而把真正承载主题的栏目目录news给挤到了URL中段,搜索引擎在切词时不容易把目录词识别成主题词。GSC的Index Coverage报告里,这种深层URL经常被标记为"Crawled - currently not indexed"——抓了但不收录。
## 短板三:改版迁移成本高
一旦哪天想从Dede换到Typecho或WordPress,日期目录会让301映射规则写起来异常复杂,因为新系统通常按栏目加slug的两段式组织URL,源端却是四段式甚至五段式。保哥自己2018年迁移张文保笔记的时候就吃过这个亏,所以从那以后接手的每一个Dede站,第一件事就是改命名规则。
## 修改前需要做的三件准备工作
动手改源码之前,强烈建议先把下面三件事做完,不要嫌麻烦,几年前保哥就因为没做备份直接改common.inc.php,结果改错符号导致整站白屏,恢复花了两个小时。
## 准备一:完整备份网站根目录与数据库
网站文件用FTP全量打包就行,或者用rsync同步到本地:
# SSH 方式备份
tar -czf /tmp/site_backup_$(date +%Y%m%d).tar.gz /www/wwwroot/dede_site
mysqldump -uroot -p dede_db > /tmp/db_backup_$(date +%Y%m%d).sql
# 下载到本地
scp root@server:/tmp/site_backup_*.tar.gz ./
scp root@server:/tmp/db_backup_*.sql ./
## 准备二:检查服务器是否开启静态化生成
织梦默认是把文章生成静态HTML,如果服务器是伪静态模式,那么修改命名规则之后还得同步调整.htaccess或nginx的rewrite规则,否则新规则不会生效。检查方法:
# 看一篇文章的实际URL,如果是 .html 结尾且物理文件存在 -> 静态化
ls -la /www/wwwroot/dede_site/news/2017/
# 如果只有伪静态 -> 看 nginx 或 .htaccess 的 rewrite 规则
cat /www/wwwroot/dede_site/.htaccess
## 准备三:清点已有文章数
改完规则之后需要后台一键更新全站,文章越多生成时间越长。保哥有一个三万篇文章的站,整站重新生成花了将近四十分钟,所以最好挑访问低谷期操作。统计文章数:
-- 在 phpMyAdmin 或 SQL 命令行执行
SELECT COUNT(*) FROM dede_archives;
SELECT typeid, COUNT(*) FROM dede_archives GROUP BY typeid;
## 修改common.inc.php的具体位置与代码
第一个要动的文件是data/config/common.inc.php(部分老版本是直接在根目录的data/common.inc.php),用编辑器打开后定位到大约第251行,找到$cfg_df_namerule这一行变量定义。原始定义大致长这样:
$cfg_df_namerule = '{typedir}/{Y}/{M}{D}/{aid}'.$cfg_df_ext;
把它整行替换成下面这一句:
$cfg_df_namerule = '{typedir}/{aid}'.$cfg_df_ext;
这里{typedir}会被替换成栏目目录名,{aid}是文章自增ID,$cfg_df_ext默认值是.html。改完之后保存,立刻打开一个全新建的栏目尝试发布文章,URL就会变成/news/12345.html这种紧凑形态。
## 命名规则变量速查表
变量 | 含义 | 示例 | 是否推荐 |
{typedir} | 栏目目录名 | news, products | 强烈推荐 |
{aid} | 文章自增ID | 123 | 强烈推荐 |
{Y} | 4位年份 | 2026 | 避免使用 |
{M} | 2位月份 | 05 | 避免使用 |
{D} | 2位日期 | 12 | 避免使用 |
{alias} | 文章别名 | article-name | 外贸站推荐 |
{title} | 文章标题 (https://zhangwenbao.com/how-to-write-catchy-article-titles.html) | 会被转拼音 | 中文站不推荐 |
{typename} | 栏目中文名 | 新闻资讯 | 不推荐(URL编码丑) |
## 5种推荐的命名规则模板
- 纯ID型(最简洁):{typedir}/{aid}.html 输出 /news/123.html
- 双重唯一型:{typedir}/{aid}-{alias}.html 输出 /news/123-seo-guide.html
- 纯slug型(外贸站):{typedir}/{alias}.html 输出 /products/seo-guide.html
- 顶级slug型:{alias}.html 输出 /seo-guide.html(仅适合主题集中的小站)
- 带年份的折中型:{typedir}/{Y}/{aid}.html 输出 /news/2026/123.html(资讯类时效内容)
保哥这里多提一句:如果你需要保留更具语义的URL,比如使用文章别名alias,可以把规则写成{typedir}/{aid}-{alias}或者直接{typedir}/{title},但{title}在中文语境下会被转成拼音或编码字符串,反而不利于SEO,保哥个人不推荐。
## 修改catalog_add_quick.htm模板的同步步骤
仅改common.inc.php还不够,因为Dede后台在新建栏目的快速向导里有一个独立的命名规则字段,默认值是从模板硬编码读取的。如果不同步修改,每次新增栏目还得手动把字段改一遍,量大了非常容易漏。
打开dede/templets/catalog_add_quick.htm,定位到大约第190行,找到name="namerule"那个input标签。原始代码长得像这样:
或者更糟糕——把宽高直接写进了内联style:
保哥笔记
这样浏览器会根据视口宽度和 DPR 自动选最合适的图片,节省流量、保持清晰。
## WebP / AVIF 格式
用 
重写为 
