# 保哥笔记 — 织梦CMS教程
> 本分片含 13 篇文章,按发布日期倒序。全部分片索引见 https://zhangwenbao.com/llms-full.md
**站点**:https://zhangwenbao.com/
**分类**:织梦CMS教程
**生成**:2026-06-11 18:49:05 CST
---
## 织梦置顶想加“置顶一天”?改sortrank字段就能自动到期
- URL:https://zhangwenbao.com/method-to-dedecms-article-set-a-dream-day.html
- 分类:织梦CMS教程
- 发布:2017-02-24 | 更新:2026-06-01
- 摘要:为什么织梦置顶机制只用一个sortrank字段就能实现自动到期?为什么批量操作仍然漏掉新选项?读完你会知道5.7sp1和dedebiz分支的具体修改位置、grep批量定位法、binary模式上传的换行符陷阱、以及织梦vs WordPress vs Typecho置顶设计的对比。配8个真实FAQ。
- 关键词:织梦置顶,DedeCMS,DedeCMS二开
> **TLDR**:摘要:织梦的置顶机制只靠一个sortrank字段就能做到自动到期,但批量操作常漏掉新加的选项。本文讲清底层逻辑,定位article_add与article_edit的下拉源,给出备份、修改、回写、验证的改造步骤,再讲自定义模型与批量编辑的兼容、改完必刷的几处缓存、与sortrank排序冲突的常见情况,以及和WordPress与Typecho置顶设计的对比。
> 摘要:织梦的置顶机制只靠一个sortrank字段就能做到自动到期,但批量操作常漏掉新加的选项。本文讲清底层逻辑,定位article_add与article_edit的下拉源,给出备份、修改、回写、验证的改造步骤,再讲自定义模型与批量编辑的兼容、改完必刷的几处缓存、与sortrank排序冲突的常见情况,以及和WordPress与Typecho置顶设计的对比。
2014 年到 2018 年我用织梦做过 6 个新闻类站点,最常被编辑投诉的就是置顶机制。织梦自带的 sortup 下拉只给"置顶一周/一月/三个月/半年/一年"五档,最短的"一周"对快讯节奏来说仍然太长——编辑想让一条快讯在首页顶上一天就够,第二天自动落回时间序,但织梦默认做不到。这篇笔记把我当年改造 sortup 字段的全过程整理成一份可直接复用的方案,包括模板修改、字段含义、批量编辑、自定义内容模型兼容、置顶到期自动化处理,以及一个被很多教程忽略的细节——批量操作 ajax 白名单。
所有代码我都在织梦 5.7sp1(最后一个官方版本)和 dedebiz 0.8.x 分支上验证过。dedeCMS 官方早在 2022 年宣布停更并由社区分叉,但生产环境上仍有大量站点在跑 5.7sp1,本文方案对这两个分支都适用。
## 织梦置顶机制的底层逻辑
要改置顶时长,先得搞清楚织梦怎么实现置顶。打开 dede_archives 表,会看到一个 sortrank 字段——置顶逻辑就藏在它身上。织梦把 sortrank 默认设为发布时间的 Unix 时间戳,列表页 SQL 是按 ORDER BY sortrank DESC 排序的,所以越新的文章 sortrank 越大、排在越前面。
当编辑选择"置顶一周"时,织梦实际做的事是:把 sortrank 改成"当前时间戳 + 7 × 86400",相当于这条文章的"虚拟发布时间"被推到一周后。一周内任何新发布的文章都没办法用真实时间戳超过它,自然就被顶在首页。等真实时间走过这个未来时间点之后,新文章重新追上,被置顶的内容自动落回时间序。
这个机制聪明的地方在于:
- 不需要专门的定时任务
- 不需要额外字段
- 不需要后台轮询
- 纯靠时间戳算术就实现了"到期自动取消置顶"的效果
理解了这一点,加"置顶一天"就只是在选项列表里多塞一行 value="1",没有任何数据库结构改动,回滚极其简单。这种"用最小改动得到最大复用"的设计哲学是织梦早期开发组的特色,可惜后期产品停滞才让人忽略了它的工程美感。
## 定位文件:article_add 与 article_edit 的下拉源
织梦后台所有发布、编辑表单都在 dede/templets 目录下。文章对应的两个核心模板是 article_add.htm(新建)和 article_edit.htm(编辑)。两份模板里都有一段 sortup 下拉框:
正常排序
置顶一周
置顶一个月
置顶三个月
置顶半年
置顶一年
这里的 value 值就是"置顶天数",提交表单后织梦会乘以 86400 加到当前时间戳上,写回 sortrank 字段。我们要做的就是在这段下拉里增加 value="1" 的选项。
## 放在哪个位置最合理
建议把新选项放在"正常排序"和"置顶一周"之间,从短到长排列符合用户阅读习惯,编辑选起来更顺手:
正常排序
置顶一天
置顶三天
置顶一周
置顶一个月
置顶三个月
置顶半年
置顶一年
顺手把"置顶三天"也加上——快讯类内容三天比一周更合适,是被遗漏的中间档。两份模板都要改,新建页和编辑页要保持一致,否则会出现"新建时能选一天、编辑时却没有这个选项"的诡异情况,编辑改完原来一天的文章会变成默认排序。
## 改造步骤:备份、修改、回写、验证
改造流程一共四步,每步都不能跳。
## 备份
SSH 登录服务器把 dede/templets 整个目录打包一份,文件命名带日期,万一改坏了至少能秒回滚:
cd /www/wwwroot/yoursite
tar -czf templets-backup-20260507.tar.gz dede/templets/
顺便把当前文件 hash 值记录一下,回滚时可以快速比对:
md5sum dede/templets/article_add.htm dede/templets/article_edit.htm > templets-md5-20260507.txt
## 修改
用 vim 或者通过宝塔面板 (https://zhangwenbao.com/nginx-dedecms-php-deny-all.html)编辑器打开 dede/templets/article_add.htm,搜索 sortup 定位到下拉框,按上一节给出的内容插入新行。然后打开 dede/templets/article_edit.htm 做同样修改。
织梦 5.7sp1 里这两段代码大致在 article_edit.htm 第 423 行附近、article_add.htm 第 502 行附近,但具体行号会随主题模板和打补丁顺序略有偏移,搜索关键词比死记行号靠谱。
## 回写
如果是用本地 IDE 改的,必须用二进制方式上传 htm 文件,避免编辑器把换行符从 LF 改成 CRLF 后织梦解析异常。Linux 服务器上推荐 LF,Windows 自带记事本会偷偷把它改成 CRLF——这是常年被坑的雷。VSCode/PHPStorm 都能在状态栏直接切换 LF/CRLF。
FTP 上传时主动选 binary 模式,自动模式下 .htm 后缀容易被识别为文本而触发自动换行符转换。
## 验证
登录织梦后台进入"核心 → 内容发布",新建一篇测试文章,检查 sortup 下拉里是否多出了"置顶一天"选项,选中并保存。然后去文章管理列表里编辑这篇文章,再次确认下拉里也有"置顶一天",并且当前选中状态正确。
用 SQL 直接查 sortrank 字段确认置顶逻辑生效:
SELECT id, title, sortrank, FROM_UNIXTIME(sortrank) AS sort_time
FROM dede_archives
WHERE id = 你的测试文章ID;
查询结果里 sort_time 应该比当前时间晚一天左右,这说明置顶一天已经写入。如果显示的是当前时间附近,那是表单提交逻辑没拿到新 value,需要回查 article_add.php 的处理代码。
## 二次开发兼容:自定义模型与批量编辑
## 自定义内容模型
如果你的站点有自定义内容模型——比如 spec_add.htm/spec_edit.htm 对应专题,或者 archives_add.htm 对应自由文档——每一个独立内容模型都有自己的 sortup 下拉,需要单独修改。织梦的模板复用程度不高,一处改不能全站生效,这是它的老毛病。
建议写一个简单的 shell 命令扫一遍 dede/templets 目录里所有包含 sortup 关键字的文件:
grep -l "sortup" dede/templets/*.htm
输出的文件列表就是需要修改的全部位置。改完之后再 grep 一次,确认所有文件都已经包含 value="1" 这一行:
grep -c 'value="1"' dede/templets/*.htm | grep -v ':0$'
这条命令会列出含 value="1" 的文件以及出现次数,方便核查覆盖完整度。
## 批量编辑的 ajax 白名单
这个细节很多教程都漏掉了——织梦后台列表页的"更多操作"按钮里有批量置顶功能,但它的天数白名单是硬编码的。要让批量操作也支持"置顶一天",需要修改 dede/content_list.php 或对应的 ajax 处理文件 dede/ajax_album.php/dede/content_list_ajax.php(不同补丁版本文件名不同)。
定位办法:在 dede 目录下 grep "sortup":
grep -rn "sortup" dede/ | grep -v templets
找到对应的 PHP 文件,把允许的天数白名单从:
$allowedDays = array(7, 30, 90, 180, 360);
扩展为:
$allowedDays = array(1, 3, 7, 30, 90, 180, 360);
这步对一般站点不是必须,因为绝大多数编辑还是单篇操作。如果你的运营团队真的有批量短置顶的需求(比如发完一组热点快讯统一置顶一天),再考虑加上。
## 自动化与运营层延伸
改完模板后通常还要做几件事让这个功能在运营层更顺手。
## 视觉提示:今日置顶徽章
在文章列表模板里判断 sortrank 是否在"未来一天内",是的话在标题前加一个红色徽章,让运营和编辑一眼看清哪些是短期置顶:
time() && $fields['sortrank'] - time() <= 86400) : ?>
今日置顶
样式:
.badge-today-top {
display: inline-block;
padding: 2px 6px;
background: #f56c6c;
color: #fff;
font-size: 11px;
border-radius: 3px;
margin-right: 6px;
}
## 定时巡检:超量置顶报警
虽然织梦置顶能自动到期回落,但编辑有时候会手滑把多条快讯都置顶,首页瞬间被顶满,反而稀释流量分配。写一个 cron 任务每小时跑一次,把超过五条同时置顶的情况发到企业微信或钉钉报警,让值班编辑及时清理:
getOne("SELECT COUNT(*) AS c FROM dede_archives WHERE sortrank > {$now}");
if ($row['c'] > 5) {
$msg = "首页置顶数已达 {$row['c']} 条,请检查是否有误顶";
// 推送到企业微信 webhook
file_get_contents("https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=YOUR_KEY&msg=" . urlencode($msg));
}
crontab 配置:
0 * * * * /usr/bin/php /www/wwwroot/yoursite/scripts/check_top_count.php
## 埋统计:跟踪置顶位的引流效果
给短期置顶的文章 URL 加一个 utm 参数,专门跟踪从首页置顶位过来的点击量。在首页模板里判断置顶状态,加 utm:
time()) {
$utm = '?utm_source=site&utm_medium=hometop&utm_campaign=' .
date('Y-m-d', $fields['sortrank']);
}
?>
,标记"这个页面已经被百度转码"。如果 uaredirect 在转码后的页面再次执行(被搜索引擎转码缓存),bdmark 存在直接 return,避免无限重定向循环。
2018 年 SiteApp 下线后,再也没有页面会被注入 bdmark——这段判断在现在等于死代码。但保留它没害处,因为遗留站点可能仍依赖。
外层 try-catch 静默吞掉所有异常。这是浏览器兼容代码常见做法——某些老 IE 不支持 location.replace 或 navigator.userAgent,与其报错不如沉默。但代价是调试很痛苦:脚本不工作时连 Console 都没有错误信息,只能逐行注释来定位。
## 子域名检测分支
if (arguments[1]) {
var e = window.location.host;
var a = window.location.href;
if (isSubdomain(arguments[1], e) == 1) {
f = f + "/#m/" + a;
b = true
} else {
if (isSubdomain(arguments[1], e) == 2) {
f = f + "/#m/" + a;
b = true
} else {
f = a;
b = false
}
}
} else {
b = true
}
这段是判断"目标移动版 URL 与当前 PC 域名的关系"。三种情况:
- isSubdomain == 1:完全相同域名(极少见,通常表示 m. 跳到 m.)。
- isSubdomain == 2:当前是目标的子域名(PC 是 www.xxx.com,目标是 xxx.com 的 m. 子域名)。
- isSubdomain == 0:完全不同域名(比如 PC 是 a.com,跳 m.b.com,跨站跳转)。
case 1 和 case 2 都拼接 "/#m/" + 当前 URL——这是百度 SiteApp 转码 URL 的格式:把当前页面 URL 当成 anchor 拼到目标 m. 域名后面,转码服务收到后从 anchor 解析出原页面再去抓取转码。
原文用法不传 arguments[1]:
uaredirect(window.location.href.replace("www.","m."));
只传一个参数 f,arguments[1] 是 undefined,进 else 分支 b = true——直接跳。这是简化版,跳过子域名判断,假设目标 m. 域名能正常处理 URL 映射。这种用法的隐患:如果当前 URL 不是以 www. 开头(比如直接访问 https://xxx.com/page),replace("www.","m.") 不替换任何东西,f 还是当前 URL,触发"跳到自己"。修复:
var target = window.location.host.indexOf('www.') === 0
? window.location.href.replace("www.", "m.")
: window.location.protocol + "//m." + window.location.host + window.location.pathname + window.location.search;
uaredirect(target);
## UA 检测部分
if (b) {
var c = window.location.hash;
if (!c.match("fromapp")) {
if ((navigator.userAgent.match(/(iPhone|iPod|Android|ios)/i))) {
location.replace(f)
}
}
}
核心是 navigator.userAgent.match(/(iPhone|iPod|Android|ios)/i) 这个正则。命中就 location.replace(f) 跳转。
fromapp hash 检测:移动端用户从 m. 站点点链接回到 PC 页面(比如分享给桌面端朋友)时,URL 里加 #fromapp 标记表示"我从 app 来,不要再跳回 m."。这是防止"PC ↔ 移动"无限循环的关键。
UA 正则的边界场景:
- iPad 不在列表里。iPad UA 含 iPad 但不含 iPhone/iPod,所以 iPad 用户不会被跳转——这通常是预期行为(iPad 屏幕大,PC 版能正常浏览)。但 iPad mini 7 寸可能更适合 m. 版,原文没区分。
- Android 平板被强跳。Android 平板的 UA 含 Android,会被强制跳到 m.——但平板屏幕够大,跳到 m. 后体验更差。修复:检测 Android.*Mobile(手机 Android 才有 Mobile 关键字,平板 Android 没有)。
- iPad iOS 13+ 默认伪装成 macOS。2019 年 iOS 13 起,iPad Safari 默认 UA 被改成 Macintosh——为了让网站把 iPad 当 PC 处理。如果想识别 iPad,要检测 navigator.maxTouchPoints > 1 && /Mac/.test(navigator.userAgent)。
- 微信浏览器:含 MicroMessenger,UA 里同时有 iPhone 或 Android,所以会被跳。但微信内打开的页面跳到外站需要"在浏览器打开"才能看,体验差。微信内通常希望保持当前域名,可以加 !/MicroMessenger/i.test(ua) 例外。
- QQ / 微博 / 钉钉浏览器:类似微信问题,UA 含 QQ、Weibo、DingTalk。各自有独立的 webview,跳转后场景割裂。
- Chrome DevTools 模拟模式:调试时切换到 iPhone 模拟,UA 真的会变成 iPhone。开发期间会被频繁误跳。
- 折叠屏手机展开:三星 Galaxy Z Fold / 华为 Mate X 展开后屏幕超 7 寸,但 UA 仍是 Android Mobile。会被跳到 m. 版浪费屏幕。
## isSubdomain 函数
function isSubdomain(c, d) {
this.getdomain = function(f) {
var e = f.indexOf("://");
if (e > 0) {
var h = f.substr(e + 3)
} else {
var h = f
}
var g = /^www./;
if (g.test(h)) {
h = h.substr(4)
}
return h
};
// ...
}
this.getdomain 是函数内部赋值给 this 的方法——但 isSubdomain 不是用 new 调用的,this 在严格模式下是 undefined,在非严格模式下指向 window。也就是说每次 isSubdomain 调用都会污染 window.getdomain 全局——典型的 2010 年代 JS 反模式。
g = /^www./ 这个正则有 bug:点号在正则里是"任意字符",不是字面量点。www.example.com 会被匹配(点匹配任何字符),wwwa.com 也会被错误匹配("wwwa" 中的 "a" 被点号匹配)。正确写法是 /^www\./。
h.substr(4) 假定 "www." 总是 4 个字符——但如果原 URL 是 wwwa.com 被错误识别为 www.开头,substr(4) 会切掉 "wwwa",剩下 ".com" —— 后续 isSubdomain 比较时一定不匹配。
这些 bug 在 2015 年那个年代百度内部测试可能也没发现——因为业务场景非常窄(就是 www / m / wap 三个子域名互转),bug 没暴露。
## JS 跳转的 SEO 灾难
这是原文方案最致命的问题,2026 年的 SEO 已经不能再这么做。
## Google Mobile-First Indexing 后的内容索引规则
2018 年 Google 完成 Mobile-First Indexing 切换,主要索引依据从 PC 版改为移动版页面内容。如果 PC 和移动版分两个域名(www / m),Google 期望看到:
- PC 版每个页面有
https://m.example.com/page1.html
提交两份 sitemap:www.example.com/sitemap.xml(PC 页面)+ m.example.com/sitemap-mobile.xml(移动页面)。Search Console 分别添加两个 property 监控。
## DedeCMS 响应式模板改造的具体步骤
原文是 DedeCMS 教程,给出在 DedeCMS 上做响应式改造的步骤(替代 m. 子域名方案):
## 模板路径规划
DedeCMS 模板在 /templets/yourtheme/。建议复制一份为 /templets/yourtheme-responsive/,在副本上改造,原模板保留作回滚。后台"系统 → 模板管理"切换。
## viewport meta 与字体单位
在所有 head.htm(如果模板抽离了 head)加 viewport meta。把所有 px 字号改成 rem(基准 16px):
html { font-size: 16px; }
@media (max-width: 768px) { html { font-size: 14px; } }
.article-title { font-size: 1.5rem; } /* 而不是 24px */
## 栅格系统
DedeCMS 默认模板多用 table 或 float 布局。改成 flexbox 或 grid:
.layout {
display: grid;
grid-template-columns: 1fr 300px;
gap: 30px;
}
@media (max-width: 768px) {
.layout { grid-template-columns: 1fr; }
}
## 导航响应化
PC 横向菜单 → 移动汉堡菜单(前文 cid 114 的纯 CSS 折叠方案可直接用)。
## 图片响应
DedeCMS 上传的图通常单尺寸。改造:用 dede 的 thumb 函数生成多尺寸,配合 srcset:
[field:title /]
{/dede:sql}
三个关键点:
- SQL 必须放在 sql="" 的引号内,内容里不能再有相同引号(用 " 或者反引号代替)。
- 字段必须在 SELECT 列表里出现,模板才能用 [field:xxx /] 引用。
- WHERE 条件能写但不能用变量,sql 标签不接受动态参数(绕过方法见下)。
## 动态参数的限制与绕过
原生 dede:sql 不支持模板变量做参数,比如下面这种写法 不工作:
{dede:sql sql="SELECT * FROM dede_archives WHERE typeid={$typeid}"}
绕过方法是改 PHP 模板里直接用 $dsql 对象:
SetQuery("SELECT * FROM dede_archives WHERE typeid=$typeid LIMIT 10");
$dsql->Execute();
while ($row = $dsql->GetArray()) {
echo "{$row['title']} ";
}
?>
务必 intval 强转参数防止 SQL 注入。
## 常用查询模板
## 调用某会员发布的文章
{dede:sql sql="SELECT id, title, pubdate FROM dede_archives WHERE mid=1 AND arcrank=0 ORDER BY id DESC LIMIT 10"}
[field:title /]
[field:pubdate function="MyDate('Y-m-d', @me)" /]
{/dede:sql}
多了 arcrank=0 过滤未审核文章,pubdate 字段做日期格式化。
## 调用最新评论
{dede:sql sql="SELECT f.id, f.aid, f.username, f.msg, a.title FROM dede_feedback f LEFT JOIN dede_archives a ON a.id = f.aid WHERE f.ischeck=1 ORDER BY f.id DESC LIMIT 8"}
[field:title /]
[field:username /] : [field:msg function="cn_substr(@me, 30)" /]
{/dede:sql}
## 会员积分排行
{dede:sql sql="SELECT mid, userid, uname, scores FROM dede_member WHERE matt=0 ORDER BY scores DESC LIMIT 10"}
[field:uname /]
积分:[field:scores /]
{/dede:sql}
## 分类统计
{dede:sql sql="SELECT typeid, typename, COUNT(*) AS cnt FROM dede_archives a INNER JOIN dede_arctype t ON t.id=a.typeid WHERE arcrank=0 GROUP BY typeid ORDER BY cnt DESC LIMIT 5"}
[field:typename /] ([field:cnt /] 篇)
{/dede:sql}
## 常用统计聚合
{dede:sql sql="SELECT COUNT(*) AS c FROM dede_archives WHERE channel=1 AND arcrank=0"}已发表文章:[field:c /] 篇{/dede:sql}
{dede:sql sql="SELECT COUNT(*) AS c FROM dede_archives WHERE channel=2 AND arcrank=0"}图集:[field:c /] 个{/dede:sql}
{dede:sql sql="SELECT COUNT(*) AS c FROM dede_feedback WHERE ischeck=1"}已审评论:[field:c /] 条{/dede:sql}
{dede:sql sql="SELECT COUNT(*) AS c FROM dede_member"}注册会员:[field:c /] 名{/dede:sql}
{dede:sql sql="SELECT SUM(click) AS c FROM dede_archives"}文章总点击:[field:c /] 次{/dede:sql}
{dede:sql sql="SELECT COUNT(*) AS c FROM dede_archives WHERE pubdate > UNIX_TIMESTAMP(CURDATE())"}今日新增:[field:c /] 篇{/dede:sql}
## 批量修改类 SQL:标题、正文、描述
## DedeCMS 数据存储的拆分模型
DedeCMS 5.7 把文章拆成两张表:
- dede_archives:标题、关键词、描述、栏目、发布时间、点击量等元信息。
- dede_addonarticle:正文 body、redirecturl 等大字段。
批量改正文要操作 addonarticle,批量改标题要操作 archives。两表通过 archives.id = addonarticle.aid 关联。
## 批量替换标题中的关键词
UPDATE dede_archives
SET title = REPLACE(title, '保哥笔记', '张文保博客')
WHERE title LIKE '%保哥笔记%';
WHERE 子句里加 LIKE 限定能减少不必要的全表扫描,特别是 title 没建索引时。
## 批量替换正文中的关键词
UPDATE dede_addonarticle
SET body = REPLACE(body, '原关键词', '新关键词')
WHERE body LIKE '%原关键词%';
注意 body 是 mediumtext 类型,1600 万字符上限。如果你的替换会让正文长度大幅增加(比如把 5 字短词替换成 50 字长句),先估算字段是否会溢出。
## 批量替换描述与摘要
UPDATE dede_archives
SET description = REPLACE(description, '原词', '新词')
WHERE description LIKE '%原词%';
## 跨表条件批量改
“替换正文里包含 SEO 博客的所有文章的标题”需要 JOIN:
UPDATE dede_archives a
INNER JOIN dede_addonarticle ad ON ad.aid = a.id
SET a.title = REPLACE(a.title, '保哥笔记', '张文保博客')
WHERE ad.body LIKE '%SEO博客%';
## 大表分批 UPDATE 避免锁表
百万行级别的 archives 表上跑 UPDATE 会触发表锁,业务请求几分钟内 502。分批写法:
-- 每批 1000 行,循环执行直到没有匹配
UPDATE dede_archives
SET keywords = ''
WHERE keywords LIKE '%旧词%'
LIMIT 1000;
SQL 命令行工具不能写循环,需要在命令行 mysql 里写 shell 脚本:
while true; do
AFFECTED=$(mysql -u user -p"pass" dedecms_db -N -e "
UPDATE dede_archives SET keywords='' WHERE keywords LIKE '%旧词%' LIMIT 1000;
SELECT ROW_COUNT();
")
if [ "$AFFECTED" = "0" ]; then break; fi
echo "Updated $AFFECTED rows, sleeping..."
sleep 1
done
每批之间 sleep 1 秒让其它查询有机会插队,避免长时间持锁。
## 时间字段的批量重置
## 三个时间字段的关系
dede_archives 有三个时间字段:
- pubdate:发布时间,前端按这个排序。
- senddate:入库时间,作者发文章的实际时间。
- sortrank (https://zhangwenbao.com/method-to-dedecms-article-set-a-dream-day.html):自定义排序权重,多数情况等于 pubdate。
SEO 优化中常需要把老文章的 pubdate 拉新让搜索引擎重新抓取。但要保持 senddate 真实记录历史。
## 把指定 typeid 文章的 pubdate 重置为今天
UPDATE dede_archives
SET pubdate = UNIX_TIMESTAMP(NOW()),
sortrank = UNIX_TIMESTAMP(NOW())
WHERE typeid = 5
AND pubdate < UNIX_TIMESTAMP('2020-01-01');
不要动 senddate,作为历史溯源依据。
## 批量按比例重新分布发布时间
采集来的文章如果 pubdate 都堆在同一天,前台分页会很丑。用随机时间打散:
UPDATE dede_archives
SET pubdate = UNIX_TIMESTAMP(NOW()) - FLOOR(RAND() * 86400 * 30),
sortrank = pubdate
WHERE typeid = 5;
这条把 typeid=5 的所有文章 pubdate 随机分布到过去 30 天内。86400 是一天的秒数。
## 栏目相关批量操作
## 修改栏目动静态
-- 全部改为静态
UPDATE dede_arctype SET isdefault = 1;
-- 全部改为动态
UPDATE dede_arctype SET isdefault = -1;
-- 仅改某父栏目下的子栏目
UPDATE dede_arctype SET isdefault = -1 WHERE reid = 10;
动态栏目(isdefault=-1)每次访问实时查 DB;静态栏目(isdefault=1)需要在后台“生成-栏目 HTML”后才更新。SEO 角度静态更友好(缓存命中率高),但维护成本高(每次发新文章要重生成)。
## 批量移动文章到新栏目
-- 把 typeid=10 的所有文章移到 typeid=20
UPDATE dede_archives SET typeid = 20 WHERE typeid = 10;
-- 同时更新 dede_arctiny 这张缓存表
UPDATE dede_arctiny SET typeid = 20 WHERE typeid = 10;
dede_arctiny 是 archives 的精简缓存版(只保留 id、typeid、channel、arcrank 等),生成静态页时用。改 archives 不改 arctiny 会造成“栏目页能看到文章但点进去找不到”。
## 批量删除空栏目
DELETE FROM dede_arctype
WHERE id NOT IN (SELECT DISTINCT typeid FROM dede_archives)
AND id NOT IN (SELECT DISTINCT reid FROM dede_arctype WHERE reid > 0);
避免删到当前是其它栏目父级的栏目。
## 批量处理图片与缩略图
## 批量替换图片域名
站点搬家或者 CDN (https://zhangwenbao.com/cdn-edge-caching-strategy-ttl-cache-control-purge-origin-shield.html) 切换后,正文里可能写死了旧域名的图片 URL:
-- 替换 archives 表 litpic(缩略图)字段
UPDATE dede_archives
SET litpic = REPLACE(litpic, 'http://oldcdn.example.com/', 'https://newcdn.example.com/')
WHERE litpic LIKE 'http://oldcdn.example.com/%';
-- 替换 addonarticle 表 body(正文)字段中的图片 URL
UPDATE dede_addonarticle
SET body = REPLACE(body, 'http://oldcdn.example.com/', 'https://newcdn.example.com/')
WHERE body LIKE '%oldcdn.example.com%';
## 批量给文章配缩略图(自动从正文取首图)
很多老文章 litpic 字段是空的,前台缩略图位显示为占位符。从正文里抓首张 img 地址:
UPDATE dede_archives a
INNER JOIN dede_addonarticle ad ON ad.aid = a.id
SET a.litpic = SUBSTRING_INDEX(SUBSTRING_INDEX(ad.body, 'src="', -1), '"', 1)
WHERE a.litpic = ''
AND ad.body LIKE '% 终止。或者增大 innodb_lock_wait_timeout。
## 故障 3:执行后前台没生效
DedeCMS 有“文档 HTML”与“栏目 HTML”两层缓存。改完 SQL 必须在后台“生成”菜单里点“更新文档 HTML”与“更新主页 HTML”让缓存重生成。
## 故障 4:REPLACE 替换后多出乱码
字符集不一致导致。SET NAMES utf8mb4 之后再执行 REPLACE。
## 故障 5:dede:sql 标签输出空白
三个排查:SQL 在命令行直接跑能否拿到数据;模板里 [field:xxx /] 字段名是不是与 SELECT 列表完全一致;arcrank 过滤是不是把所有文章都筛掉了。
## 故障 6:批量改完发布时间排序乱了
没同步更新 sortrank。dedeCMS 的排序优先级是 sortrank > pubdate。改 pubdate 时务必同步改 sortrank:UPDATE dede_archives SET pubdate=X, sortrank=X。
## 常见问题解答
## SQL 命令行工具被禁用了怎么办?
多数二开版本会出于安全考虑禁用 SQL 命令行。直接用 phpMyAdmin 或者 SSH 进服务器跑 mysql CLI 都能替代。如果你必须从后台跑,找到 dede/sys_sql_query.php 检查权限校验代码是否被篡改。
## 批量替换时如何只改正文不改标题?
用具体的 UPDATE 表名+字段:UPDATE dede_addonarticle SET body = REPLACE(body, 'a', 'b') 只改 addonarticle 表的 body 字段。其它字段不会被改。
## UPDATE 跑了一半中断了,怎么知道哪些已经改了?
没有简单方法。这就是为什么必须先 mysqldump 备份。如果中断了,先 mysqldump 现状,再 diff 与原始备份,能看出哪些已改。复杂场景建议加自定义 status 字段标记:ALTER TABLE dede_archives ADD COLUMN _migrated TINYINT DEFAULT 0; UPDATE dede_archives SET title=..., _migrated=1 WHERE _migrated=0 LIMIT 1000;
## 大批量 SQL 执行后数据库变得很慢?
UPDATE 大表后 InnoDB 索引可能碎片化。OPTIMIZE TABLE dede_archives 重建索引。生产库的 OPTIMIZE 会锁表几分钟,建议低峰期执行。
## 数据库被填满怎么办?
多数是 dede_search_keywords 表(搜索关键词记录)疯涨。SELECT TABLE_NAME, DATA_LENGTH/1024/1024 AS MB FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA='dedecms_db' ORDER BY DATA_LENGTH DESC LIMIT 10; 看哪张表占空间。TRUNCATE TABLE dede_search_keywords 清掉历史记录。
## 能否用 SQL 跨字段批量推送到搜索引擎?
不能直接 SQL 推。但 SQL 可以筛出待推送 URL 清单导出 csv,再用 Python 调百度推送 API:SELECT CONCAT('https://example.com/article/', id, '.html') FROM dede_archives WHERE pubdate > UNIX_TIMESTAMP() - 86400 INTO OUTFILE '/tmp/urls.csv'。
## UPDATE 一次改太多行触发 binlog 撑爆磁盘?
分批 UPDATE 是更优方案。或者临时关 binlog:SET sql_log_bin = 0; UPDATE ...; SET sql_log_bin = 1;。注意关闭 binlog 后改的内容不会同步到 slave 与备份系统。
## 已备份的 mysqldump 怎么验证完整性?
把它恢复到一个空的测试库:mysql -u test_user -p test_db < backup.sql。如果导入过程没报错就是完整的。
## SQL 命令行工具支持注释吗?
支持。MySQL 三种注释语法都可以:-- xxx、# xxx、/* xxx */。注释在 SQL 命令行历史中方便事后回看自己的意图。
## 能不能写存储过程批量处理?
可以。但 DedeCMS 的 SQL 命令行工具多数禁用了 DELIMITER 关键字(必须用它来定义存储过程)。改用命令行 mysql CLI 或者把存储过程定义放到外部 .sql 文件 source 进来。
## 权威参考资料
## DedeCMS后台验证码错误终极排查指南:从GD库到sessions_xxx升级残留全覆盖
- URL:https://zhangwenbao.com/a-dedecms-background-verification-solution-error-code.html
- 分类:织梦CMS教程
- 发布:2017-01-28 | 更新:2026-06-02
- 摘要:织梦后台验证码识别不了,得按状态码分类排查。本文从vdimgck.php的验证流程切入:500多半是GD扩展没启用、403可能是nginx deny或SELinux标签错、200但断流大概率是BOM污染。提交错则深挖到session升级残留双写、cookie SameSite等五种成因,附关闭验证码的加固方案。
- 关键词:DedeCMS验证码,DedeCMS安全,session权限,GD扩展,DedeCMS 5.7
> **TLDR**:摘要:织梦后台验证码识别不了,得按现象分类排查。本文从vdimgck.php的工作原理切入,逐一拆五种故障——图片根本不显示多半是GD扩展没启用、图片显示但提交永远报错、磁盘满导致session写入失败、插件二开把session启动顺序搅乱、MySQL连接慢导致超时,再给data目录搬家的特殊场景、PHP版本兼容的子故障,以及兜底的关闭验证码加固。
> 摘要:织梦 (https://zhangwenbao.com/dedecms-batch-modify-article-naming-rules.html)后台验证码识别不了,得按现象分类排查。本文从vdimgck.php的工作原理切入,逐一拆五种故障——图片根本不显示多半是GD扩展没启用、图片显示但提交永远报错、磁盘满导致session写入失败、插件二开把session启动顺序搅乱、MySQL连接慢导致超时,再给data目录搬家的特殊场景、PHP版本兼容的子故障,以及兜底的关闭验证码加固。
DedeCMS 后台登录验证码错误这个问题,几乎每个搞过织梦运维的人都撞过一两回。最难的不是修,是先判断到底是哪一类故障——同样一句“验证码不对”背后可能是会话目录权限错了、可能是 GD 库压根没装、可能是升级遗留了一个名字带乱码后缀的会话目录、也可能纯粹是浏览器 Cookie 被 SameSite 限制。本文把 DedeCMS 5.7 / V5.7 SP1 / V5.7 SP2 / V5.7 UTF8 各版本下我亲自处理过的验证码故障案例汇总成一份排查清单,配套给到具体代码改动与命令。
## DedeCMS 验证码工作原理速览
要修验证码,得先知道 DedeCMS 这套机制是怎么走的。整个链路有四步:
- 浏览器请求登录页 dede/login.php,页面 HTML 里有一个 验证码:
ServerName admin-9k7x.example.com
DocumentRoot /var/dedecms-admin
SSLEngine on
SSLCertificateFile /etc/ssl/certs/example.com.crt
SSLCertificateKeyFile /etc/ssl/private/example.com.key
AssignUserId www-admin www-data
# IP 白名单(办公网/VPN 出口)
三个细节:
- 子域名不可猜:admin-9k7x.example.com 这种带随机串的子域名比 admin.example.com 安全很多,攻击者扫域名时找不到。
- IP 白名单:限定办公网或 VPN 出口 IP 才能访问。这是抵抗 90% 自动化扫描的最简手段。
- Basic Auth:哪怕 IP 被绕过(攻击者拿到内网跳板),还有一道密码门。
生成 htpasswd:
sudo htpasswd -c /etc/apache2/.htpasswd dedeops
启用 vhost:
sudo a2ensite dedecms-admin
sudo systemctl reload apache2
## 修复后台代码引用路径
后台目录迁移后,原本的相对路径都要调整。最少修改三个文件:
/var/dedecms-admin/config.php 第 12 行:
require_once(DEDEADMIN.'/../include/common.inc.php');
改为:
require_once(DEDEADMIN.'/../dedecms/include/common.inc.php');
/var/dedecms-admin/login.php 第 11 行与 /var/dedecms-admin/exit.php 第 11 行同样的 include 路径修复。
/var/dedecms/data/safe/inc_safe_config.php 第 2 行:
$safe_gdopen = '1,2,3,4,5,7';
这个开关控制各处验证码是否开启,开越多越好。
## 必要的 include 资源同步
后台 UI 依赖 /var/dedecms/include/ 下的 dialog、js、ckeditor 等文件夹。把这些复制或软链到后台目录:
sudo mkdir /var/dedecms-admin/include
sudo ln -s /var/dedecms/include/dialog /var/dedecms-admin/include/dialog
sudo ln -s /var/dedecms/include/js /var/dedecms-admin/include/js
sudo ln -s /var/dedecms/include/ckeditor /var/dedecms-admin/include/ckeditor
用软链而不是 cp -R 的好处是 DedeCMS 升级 include 时自动同步到后台。
## Nginx 方案:php-fpm 独立 pool 实现权限隔离
## 为什么 php-fpm 比 mpm-itk 更优
php-fpm 默认就支持“不同 pool 不同用户”机制,无需额外模块。性能上 php-fpm + nginx 比 apache + mpm-itk 高 30-50%(因为 mpm-itk 每次请求 fork 一个进程,php-fpm 是常驻进程池)。
## 安装基础组件
sudo apt-get install nginx php-fpm
sudo apt-get install php-mysql php-gd php-curl php-mbstring php-xml php-zip
sudo systemctl stop apache2 # 如有旧 apache
## 创建后台专属 php-fpm pool
复制默认 pool 配置:
cd /etc/php/8.1/fpm/pool.d/
sudo cp www.conf admin.conf
编辑 admin.conf 改三处:
[admin]
user = www-admin
group = www-data
listen = /run/php/php8.1-fpm-admin.sock
listen.owner = www-admin
listen.group = www-data
listen.mode = 0660
用 unix socket 而不是 127.0.0.1:9001 端口,性能更优、不暴露在外网。
## nginx 前台站点配置
/etc/nginx/sites-available/dedecms-front:
server {
listen 443 ssl http2;
server_name www.example.com;
root /var/dedecms;
index index.php index.html;
ssl_certificate /etc/ssl/certs/example.com.crt;
ssl_certificate_key /etc/ssl/private/example.com.key;
# 禁止访问敏感目录
location ~ ^/(data|templets|include|dede|member|special|company)/.*\.(php|php5|phtml)$ {
deny all;
}
# uploads 目录禁止脚本执行
location ~* ^/uploads/.*\.(php|php5|phtml|pht|phar|cgi)$ {
deny all;
}
# 隐藏文件保护
location ~ /\. {
deny all;
}
# PHP 处理
location ~ \.php$ {
try_files $uri =404;
fastcgi_pass unix:/run/php/php8.1-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
# 静态资源缓存
location ~* \.(jpg|jpeg|png|gif|css|js|woff|woff2|ico)$ {
expires 30d;
access_log off;
}
}
server {
listen 80;
server_name www.example.com;
return 301 https://$server_name$request_uri;
}
## nginx 后台站点配置
/etc/nginx/sites-available/dedecms-admin:
server {
listen 443 ssl http2;
server_name admin-9k7x.example.com;
root /var/dedecms-admin;
index index.php;
ssl_certificate /etc/ssl/certs/example.com.crt;
ssl_certificate_key /etc/ssl/private/example.com.key;
# IP 白名单
allow 203.0.113.0/24;
allow 198.51.100.0/24;
deny all;
# Basic Auth
auth_basic "Admin Only";
auth_basic_user_file /etc/nginx/.htpasswd;
location ~ \.php$ {
try_files $uri =404;
fastcgi_pass unix:/run/php/php8.1-fpm-admin.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
location ~ /\. {
deny all;
}
}
关键差异:admin 站点用 admin pool 的 socket(fpm-admin.sock),跑 www-admin 进程身份;前台用 default pool socket(fpm.sock),跑 www-data 进程身份。
## 启用站点
sudo ln -s /etc/nginx/sites-available/dedecms-front /etc/nginx/sites-enabled/
sudo ln -s /etc/nginx/sites-available/dedecms-admin /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl reload nginx
sudo systemctl restart php8.1-fpm
## 文件权限的精细化设置
## 分层权限模型
# 整体默认 750(owner 读写执行,group 读执行)
sudo chown -R www-admin:www-data /var/dedecms
sudo find /var/dedecms -type d -exec chmod 750 {} \;
sudo find /var/dedecms -type f -exec chmod 640 {} \;
# uploads 与 data 需要 web 进程可写
sudo chown -R www-data:www-data /var/dedecms/uploads /var/dedecms/data
sudo chmod -R 770 /var/dedecms/uploads /var/dedecms/data
# install 目录可以删
sudo rm -rf /var/dedecms/install
## data/safe 目录强加固
data/safe/ 里的 inc_safe_config.php 是站点配置,攻击者最想读。改 600 只让 owner 读:
sudo chmod 600 /var/dedecms/data/safe/inc_safe_config.php
sudo chmod 600 /var/dedecms/data/common.inc.php
## plus 目录的处理
plus/ 下有几个高危文件历史上被反复曝出漏洞。如果你不用对应功能,直接删:
cd /var/dedecms/plus
sudo rm -f recommend.php carbuyaction.php carbuy.php advancedsearch.php mytag_js.php
这一招能挡掉自动化扫描的 80%。
## php.ini 危险函数禁用
编辑 /etc/php/8.1/fpm/php.ini 找到 disable_functions:
disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_multi_exec,parse_ini_file,show_source,phpinfo,assert,eval,gzinflate,base64_decode,str_rot13
这些函数是 webshell 最常用的入口。一旦禁用,绝大多数公开 webshell 工具直接失效。
同时修改:
expose_php = Off
allow_url_fopen = Off
allow_url_include = Off
display_errors = Off
log_errors = On
error_log = /var/log/php-fpm/php-fpm-error.log
session.cookie_httponly = 1
session.cookie_secure = 1
重启 php-fpm 生效。
## SELinux 与 AppArmor
## CentOS / RHEL 用 SELinux
默认开启的 SELinux 会给 /var/www/ 下的文件打 httpd_sys_content_t 标签。如果你的 DedeCMS 装在非标准路径(比如 /opt/dedecms),需要手动打标:
sudo semanage fcontext -a -t httpd_sys_content_t "/opt/dedecms(/.*)?"
sudo restorecon -Rv /opt/dedecms
uploads 与 data 需要可写:
sudo semanage fcontext -a -t httpd_sys_rw_content_t "/opt/dedecms/uploads(/.*)?"
sudo semanage fcontext -a -t httpd_sys_rw_content_t "/opt/dedecms/data(/.*)?"
sudo restorecon -Rv /opt/dedecms/uploads /opt/dedecms/data
## Ubuntu 用 AppArmor
Ubuntu 默认开启的 AppArmor 提供类似功能。看当前状态:
sudo aa-status
如果 nginx 或 apache 没有 profile,可以创建一个 enforce 模式的策略限制其访问范围。
## fail2ban 暴力破解防护
即便后台改了名加了 IP 白名单,互联网层面仍有大量尝试性扫描。fail2ban 监控访问日志,发现异常行为自动封 IP:
sudo apt-get install fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
编辑 jail.local 启用 nginx-http-auth jail:
[nginx-http-auth]
enabled = true
filter = nginx-http-auth
logpath = /var/log/nginx/error.log
maxretry = 5
findtime = 600
bantime = 86400
10 分钟内 5 次 Basic Auth 失败的 IP 封禁 24 小时。
对 DedeCMS 后台登录接口写自定义 filter:
# /etc/fail2ban/filter.d/dedecms-login.conf
[Definition]
failregex = ^ .* "POST /login\.php.*" 200
ignoreregex =
启用:
[dedecms-login]
enabled = true
filter = dedecms-login
logpath = /var/log/nginx/dedecms-admin-access.log
maxretry = 3
findtime = 600
bantime = 86400
## SSL/TLS 强制升级
HTTP 到 HTTPS 强制 301 跳转前面已经在 nginx/apache 配置里给了。补充几个加固头:
# nginx 后台站点 server 块内
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline';" always;
HSTS (https://zhangwenbao.com/https-hsts.html) 头让浏览器一年内强制走 HTTPS,连 HTTP 都不发起请求;CSP 防止 XSS 注入跨域脚本。
## 定期备份与日志审计
## 每日备份脚本
#!/bin/bash
# /usr/local/bin/dedecms-backup.sh
DATE=$(date +%Y%m%d)
BACKUP_DIR=/var/backups/dedecms
mkdir -p $BACKUP_DIR
# 数据库备份
mysqldump -u root -p'YOUR_PASS' --single-transaction --hex-blob dedecms_db | gzip > $BACKUP_DIR/db_$DATE.sql.gz
# 文件备份(排除大附件)
tar --exclude='/var/dedecms/uploads/big_files' -czf $BACKUP_DIR/files_$DATE.tar.gz /var/dedecms /var/dedecms-admin
# 保留最近 30 天
find $BACKUP_DIR -name "db_*.sql.gz" -mtime +30 -delete
find $BACKUP_DIR -name "files_*.tar.gz" -mtime +30 -delete
cron 设置每天凌晨执行:
0 3 * * * /usr/local/bin/dedecms-backup.sh
## 异地备份
本地备份不够,必须传到异地(OSS、S3、另一台机器)。用 rclone 或 awscli:
0 4 * * * rclone sync /var/backups/dedecms remote:dedecms-backup/$(date +\%Y\%m)
## 被入侵后的应急响应
## 第一时间止血
- nginx/apache 改 server 配置返回 503,关掉访问。
- 断开 MySQL 远程访问:iptables 封 3306 端口。
- 临时拒绝所有 PHP 执行:在 nginx 配置里把 location ~ \.php$ 块整个 deny。
## 溯源调查
- 看 nginx access.log 找异常 POST 请求(特别是 plus/ 与 uploads/ 路径)。
- find /var/dedecms -newer /tmp/some-marker -type f 找最近修改过的文件。
- find / -name "*.php" -newer /tmp/some-marker 找全盘新增的 PHP 文件(webshell 嫌疑)。
- 看 mysql binlog 找异常 SQL(特别是 INSERT 进 dede_admin 表的)。
## 恢复流程
不要在被入侵的系统上“修一修就好”——攻击者多半已经留了多个后门。正确做法:从备份里彻底重建系统、重置所有密码(数据库、SSH、后台、SMTP)、重新生成 SSL 证书、清空 sessions。
## 常见问题解答
## 把后台目录改名后还需要其它防护吗?
需要。改名只解决“目录可猜”,但攻击者拿到一份你的备份文件或日志也能知道新目录名。完整防护是“改名 + IP 白名单 + Basic Auth + fail2ban”四件套。
## mpm-itk 性能损失大吗?
每个请求 fork 进程比常驻进程慢 10-30%。中小站点流量不大感知不到,QPS 上千的高流量站点建议改用 nginx + php-fpm 多 pool 方案。
## uploads 目录禁止 PHP 执行后图片缩略图功能受影响吗?
不影响。缩略图生成是 PHP 进程内 GD 调用,与“上传目录里的 .php 文件能不能被外部请求”是两回事。本文 nginx 配置只拦截 location ~* ^/uploads/.*\.(php|...) 这种通过 URL 直接访问的请求,PHP 进程内的 image_create 调用不走这条路径。
## php.ini disable_functions 禁用 exec 后某些功能挂了?
少数 DedeCMS 模块(特别是图像处理、备份模块)会调 exec 调外部 ImageMagick。三种处理:用 PHP 内置函数替代(imagemagick 改 GD);指定具体可调的安全命令而不是禁用整个 exec;把这些功能转移到独立的内网服务通过 HTTP 调用。
## 为什么不直接用 chroot 把每个站点关进笼子?
chroot 配置复杂,要把所有依赖库(libc、libz 等)拷进 chroot 目录。对单台服务器跑多个 PHP 站点,php-fpm 多 pool + 不同 user 已经够用,chroot 边际收益不大。容器化(Docker (https://zhangwenbao.com/wordpress-docker-containerized-deployment-environment-consistency.html))是更现代的隔离方案。
## CentOS 的 SELinux 总是拦我的功能怎么办?
不要 setenforce 0 关掉 SELinux。正确做法是看 /var/log/audit/audit.log,找出具体哪个动作被拒,然后用 audit2allow 生成对应的策略允许。SELinux 的拦截多数是合理的安全限制。
## fail2ban 把我自己也封了怎么办?
把办公网 IP 加到 fail2ban 的 ignoreip:在 jail.local 顶部 [DEFAULT] 区段加 ignoreip = 127.0.0.1/8 ::1 203.0.113.0/24。
## HTTPS 证书续期失败怎么办?
多数证书续期失败是 Let's Encrypt 验证 .well-known 路径取不到(被 nginx 全站 deny 拦了)。在 server 块顶部加白名单:location /.well-known/acme-challenge/ { allow all; } 优先级高于其它规则。
## 已经被入侵了能不能不重装直接清理?
极不推荐。攻击者可能在系统的 cron、systemd unit、动态库注入、内核模块、ssh authorized_keys 等多处留了持久化后门。仅清理 webshell 就好的概率不到 30%。
## 有没有现成的扫描工具能查 DedeCMS 是否已被入侵?
可以用 maldet(Linux Malware Detect)扫描已知 webshell 特征:maldet -a /var/dedecms。但只能查已知样本,定制 webshell 查不到。配合人工审计 access.log 与近期文件修改才是完整方案。
## 权威参考资料
## 织梦手机站首页一直是旧数据?一个字符改对缓存判断
- URL:https://zhangwenbao.com/dedecms-mobile-index-html-update-solution.html
- 分类:织梦CMS教程
- 发布:2017-01-21 | 更新:2026-06-01
- 摘要:织梦手机站首页/m/index.html不更新,后台按钮还失效。本文从缓存判断逻辑解读,给出把!file_exists改成file_exists的一字符修复方案、压测前后对比、TTL短时缓存优化、cron定时刷新备选,以及栏目页和文章页同类问题,覆盖V5.7 SP1到DedeBIZ 6.x全版本。
- 关键词:DedeCMS移动版,DedeCMS手机站,静态文件缓存,DedeCMS生成,m目录修复
> **TLDR**:摘要:织梦手机站首页/m/index.html一直停在旧数据、后台更新按钮还失效,根子在/m/index.php的缓存判断写反了。本文拆解缓存逻辑,给出把file_exists前的非号去掉这个一字符修复,附压测数据评估性能影响、上线回归清单,再讲cron定时刷新的备选方案、栏目页和文章页的同类问题,覆盖V5.7 SP1到DedeBIZ 6.x全版本。
> 摘要:织梦手机站首页/m/index.html一直停在旧数据、后台更新按钮还失效,根子在/m/index.php的缓存判断写反了。本文拆解缓存逻辑,给出把file_exists前的非号去掉这个一字符修复,附压测数据评估性能影响、上线回归清单,再讲cron定时刷新的备选方案、栏目页和文章页的同类问题,覆盖V5.7 SP1到DedeBIZ 6.x全版本。
保哥做织梦站点的运维和二次开发已经超过八年。这篇文章想完整复盘一个看似很小、但实际困扰过不少站长的老问题:织梦DedeCMS移动端的 m/index.html 静态文件,怎么改都不更新。保哥之前在客户站上踩过这个坑,跑遍了官方论坛和各种交流群,最后通过逐行阅读 /m/index.php 才把它解决。
下面把整个排查过程、原理、最终的修复方法、性能压测数据、上线回归清单和长期维护建议都写出来,希望能帮到正在头疼的同行。
## 问题现象:PC 端正常,手机端首页一直停留在旧数据
保哥接手的这个项目是一个面向地方资讯的内容站,PC端用织梦默认模板,手机端是单独开发的子目录 /m/。客户反馈说,PC端文章发布以后,PC首页能正常生成新内容,但是手机端首页 https://站点/m/ 一直显示几天前的旧文章。
保哥做的第一轮排查是这样的:
- 进后台生成菜单到更新主页HTML,点击生成,提示成功,但访问 /m/index.html 没变化。
- 后台更新系统缓存、更新所有文档HTML依次跑了一遍,依旧不更新。
- 直接SSH到服务器,把 /m/index.html 删掉,再用手机访问 /m/,这时候静态页面会自动重新生成,并且内容是最新的。
- 但是再过几个小时发新稿,/m/index.html 又卡住,不再更新。
- 给文件设置不可写权限(chmod 644),希望系统会因为无法写入而报错从而暴露问题,但织梦居然静默失败,前台仍然显示旧内容。
这条线索很关键:只有当 index.html 不存在时,系统才会重新写入这个文件。这意味着DedeCMS在 /m/index.php 里有一段缓存判断逻辑,问题大概率出在那段判断上。
## 原理拆解:阅读 /m/index.php 的缓存判断
保哥把 /m/index.php 用VSCode打开,定位到生成首页静态文件的那段代码,核心是这一行:
if(isset($_GET['upcache']) || !file_exists('index.html'))
{
// 重新读取数据库内容,渲染模板,写入 index.html
}
else
{
// 直接 include 已有的 index.html,作为缓存命中
}
这段代码的逻辑用人话翻译就是:
- 条件A:URL里带了 ?upcache 参数;
- 条件B:当前目录下不存在 index.html 文件;
- 只要A或B任一成立,就重新生成;否则直接读取已有静态页。
看到这里保哥就明白了。织梦默认的"更新主页HTML"按钮,其实只针对PC端的根目录主页,根本不会触发 /m/index.php。也就是说,移动端的 index.html 只能通过两条路径更新:
- 手动给 /m/index.php?upcache=1 这个URL发请求;
- 把 /m/index.html 物理删除,下一次手机访问时再生成。
这就解释了为什么客户每次都觉得"不更新"——后台的所有按钮都不会触发这段逻辑。从软件设计角度看,这是织梦移动端模块在2010年前后初版设计时遗留的一个"特性"——当时移动端流量还很小,开发者认为静态文件可以长期不更新,节省服务器资源。但2026年的内容站根本接受不了这种设计。
## 官方推荐方案的副作用:为什么没有采用
社区里流传的一种做法,是去后台生成菜单到更新主页HTML里,把"主页位置"改成 /m/index.html、模板改成移动端模板,再点生成。理论上可行,保哥也实测过,确实能更新移动端首页。但是它有一个致命副作用:
- 这个配置是全局的,一旦改成移动端,下一次想更新PC首页时,还要再切回PC的路径和模板;
- 如果忘记切回去,PC首页就会被移动端模板覆盖,直接出大事;
- 客户那边的运营同事不可能每次发稿都来回切换。
- 客户站如果有多个编辑同时操作,还会出现并发竞争——A刚切到移动端模板,B在另一个标签页点了"更新PC首页",结果PC首页就被移动端模板覆盖了。
所以这条路对保哥来说是不可持续的。需要一个一次性改完、之后零维护的方案。
## 保哥的修复方案:把 !file_exists 的"非"去掉
回到 /m/index.php 那段判断。保哥重新读了一遍:
if(isset($_GET['upcache']) || !file_exists('index.html'))
这里有一个隐含假设:文件存在就直接用缓存。但对于移动端首页这种数据频繁变动的场景,这个假设并不合理。把判断里 file_exists 前面的 !(取反)去掉,让逻辑变成文件存在的时候才重新生成:
if(isset($_GET['upcache']) || file_exists('index.html'))
{
// 每次有 index.html 文件存在,就重新读数据并写入
}
这一改动看似反直觉——文件存在反而要重新生成?但配合后面的 include 逻辑读一遍源代码就会发现,只要重新走一次生成流程,最新的数据就会被写入 index.html 并立即输出,相当于把缓存命中分支废掉,强制每次访问都更新。
保存上传,访问 https://站点/m/,刷新两次,内容立刻变成最新文章。问题解决。
这个改法的优雅之处在于:只动一个字符(删一个感叹号),可读性高、改动可见、回滚一秒搞定。任何接手代码的人看到这一行都能理解意图。
## 性能影响评估与压测数据
有读者会担心:每次访问都重新读数据库渲染模板,会不会把服务器搞垮?保哥在客户的测试环境用 wrk 做了一轮压测,记录如下:
# 测试环境:2核4G,PHP 7.4,MariaDB 10.5
# 修改前:纯静态 include
wrk -t4 -c100 -d30s https://test.example.com/m/
# Requests/sec: 2841.32
# Latency avg: 35.2ms
# Errors: 0
# 修改后:每次重新生成
wrk -t4 -c100 -d30s https://test.example.com/m/
# Requests/sec: 612.45
# Latency avg: 163.7ms
# Errors: 0
吞吐确实下降到原来的1/4左右。对一个日PV不到5万的中小资讯站来说,这个性能完全够用;但如果你的站点首页QPS上千,建议再加一层短时缓存,比如:
$cacheFile = 'index.html';
$ttl = 300; // 5分钟
if(isset($_GET['upcache'])
|| !file_exists($cacheFile)
|| (time() - filemtime($cacheFile)) > $ttl)
{
// 生成
}
这样既保证5分钟内首页一定刷新一次,又不至于每个请求都打数据库。保哥后来在另一个流量更大的客户站上就是用的这个TTL版本,运行至今稳定。
更进阶的方案是把缓存放到Redis或Memcached,TTL同样5分钟,但避免filemtime这种文件IO操作。日PV超过百万的站点这么改能进一步把延迟压到50ms以下。
## 上线前的回归清单
改动这种核心入口文件,保哥有一个固定的回归清单,建议你也照着走一遍:
- 备份原文件:cp /m/index.php /m/index.php.bak.20260507,万一出问题可以一键回滚。
- 本地或测试环境先验证:确认手机访问能正常跳转、首页内容能更新、CSS/JS资源加载正常。
- 检查SEO影响:/m/index.html 的 、<meta description>、结构化数据 (https://zhangwenbao.com/seo-schema-guide.html)是否仍然完整输出。用Chrome的View Source功能验证。
- 检查H5跳转:从PC域名的 / 访问,是否仍然能正确通过UA判断跳到 /m/。常见的UA判断在 include/dedemobile.class.php。
- CDN缓存:如果你前面挂了Cloudflare或者七牛CDN,需要把 /m/index.html 的缓存策略改短,否则改完也不生效。Cloudflare的Cache Level建议改成"Bypass"或Edge TTL改成5分钟。
- 观察7天:连续观察一周,确认数据库压力、慢日志、错误日志都没异常。
- 监控移动端访问指标:用百度统计或Google Analytics查移动端首页的UV、PV和跳出率,对比改动前后是否有异常波动。
按这个清单走,基本不会翻车。保哥给客户做这套改动时,平均部署时间25分钟,从未出过事故。
## 备选方案:cron 定时刷新
如果你不想改源码(比如担心升级被覆盖、或者团队对动核心代码有顾虑),可以用cron定时任务的方式实现"准实时刷新":
# 每 5 分钟刷新一次移动端首页
*/5 * * * * curl -s "https://站点/m/index.php?upcache=1" > /dev/null 2>&1
# 如果担心 cron 失败,可以加上日志记录
*/5 * * * * curl -s "https://站点/m/index.php?upcache=1" >> /var/log/m_refresh.log 2>&1
这种方法的好处是:完全不动源码,DedeCMS升级不会被覆盖;坏处是有最长5分钟的延迟,对实时性要求高的站不合适。
如果你的站点是热点新闻类,希望编辑发文后秒级生效,可以在DedeCMS的发文成功钩子里加一段:
// 放在 /dede/article_add.php 末尾
register_shutdown_function(function() {
@file_get_contents('https://站点/m/index.php?upcache=1');
});
这样发文成功后会异步触发一次移动端首页刷新,用户基本无感。
## 长期维护建议
从架构层面,保哥的几条建议:
- 把所有自定义改动记录到 patch.md:每次升级DedeCMS后照着清单重打补丁。
- 用git管理 /m/ 目录:所有改动都走commit,可以追溯变更历史。
- 移动端模板与PC模板逻辑解耦:避免移动端模板里直接读PC端的栏目数据,否则未来重构会很痛苦。
- 关注DedeCMS的安全公告:移动端模块在历史上出过几次SQL注入 (https://zhangwenbao.com/ecshop-includeslibinsertphp-file-sql-injection-vulnerability-repair-method.html)漏洞,订阅CNVD的DedeCMS标签关键词推送。
- 考虑长期迁移:DedeCMS官方维护节奏越来越慢,如果是新建站点不再推荐DedeCMS,老站长期看也建议规划迁移到WordPress、Typecho或自研系统的路径。
## 保哥的实战案例:三个客户站的应用记录
这个修复方案保哥在不同类型的客户站上都验证过,结果列在下面,给读者一个真实的参考:
案例一:地方资讯站,日PV 3万
客户是某三线城市的本地资讯站,DedeCMS V5.7 SP2,2018年上线。问题是发完稿编辑总是抱怨"我刚发的文章手机端首页看不到"。保哥用本文方案改完后,编辑实时刷新就能看到新文章。性能层面,由于日PV才3万,纯实时生成完全顶得住,CPU使用率只比之前高了 8%,数据库连接数从平均20增加到35,仍然在承受范围内。客户运维同事甚至没察觉性能变化。改动从备份到上线总共用了20分钟,至今稳定运行三年。
案例二:行业资讯门户,日PV 50万
客户是某垂直行业(机械制造)门户站,访问量较大且首页内容更新 (https://zhangwenbao.com/old-blog-content-update-merge-delete-seo-sop.html)频繁。直接用基础修复方案后,PHP-FPM进程数飙升到默认上限80,数据库慢查询日志开始报警。保哥立刻切换到第五节的TTL缓存版本,TTL设为3分钟,性能瞬间回归正常。运行半年后,把TTL进一步降到1分钟,配合opcache和MySQL查询缓存,性能仍然稳定。客户的SEO负责人反馈,移动端百度收录速度比之前快了一倍,新闻类内容的"小时级收录"成功率从35%提升到78%。
案例三:电商资讯+商品混合站,日PV 200万
客户是某跨境电商资讯站,首页有商品价格、库存、汇率等高频变动数据。基础方案完全扛不住,TTL方案也只能支撑到80%的请求。保哥引入了Redis缓存层,把整个index.html内容缓存到Redis(key带版本号),PHP只做读Redis和直接echo,不再走DedeCMS模板渲染。每次发文或商品上下架时,通过钩子主动invalidate对应的Redis key。这套架构下,首页平均响应时间稳定在30毫秒以下,CPU使用率从原方案的80%降到15%。这个项目让保哥意识到:DedeCMS这种老CMS的内置缓存机制对中型以上站点已经不够用,必须引入外部缓存层。
## 和其他CMS的对比
顺便对比一下其他CMS的移动端首页缓存策略,方便有迁移计划的读者参考:
WordPress:默认完全动态渲染,每次访问都走数据库。生产环境普遍配 W3 Total Cache 或 WP Rocket 这类缓存插件,缓存策略比织梦灵活得多——可以按用户角色、按设备类型、按页面类型分别配置。如果你的站点未来要迁移到WordPress,缓存层基本不用操心。
Typecho:默认动态,但模板编译后的中间产物会缓存,性能介于织梦的纯静态和WordPress的纯动态之间。Typecho 1.3之后增加了片段缓存能力,可以按需缓存特定模板块。
PHPCMS:和DedeCMS类似走静态化,但缓存逻辑更复杂,有"前台静态、后台触发"的明确分工,移动端首页的更新比DedeCMS更可控。
帝国CMS:默认走全静态化,所有页面都生成HTML文件,更新逻辑由后台菜单触发。优势是性能最好,劣势是更新延迟感最强,需要严格的发文流程。
从架构成熟度看,2026年的最佳实践是WordPress + 缓存插件,灵活性最高。但如果你的站点已经在DedeCMS上跑了多年,强行迁移成本太高,还是按本文方案优化为主。
## 常见问题解答
## 去掉感叹号之后,第一次访问 /m/ 会怎么样?
第一次访问时,如果index.html还不存在,按修改后的逻辑会进入else分支直接include,这时会因为文件不存在而报错。所以建议你保留 isset($_GET['upcache']) 那个条件,并且第一次手动跑一次 /m/index.php?upcache=1 把文件先生成出来。保哥的实际做法是把判断写成 isset($_GET['upcache']) || !file_exists('index.html') || file_exists('index.html'),看起来冗余但兼容性最好——三个条件覆盖:手动刷新、文件不存在首次生成、文件存在每次更新。
## 会不会影响SEO?百度蜘蛛抓到的内容会变吗?
蜘蛛抓到的依然是 /m/index.html 的最新内容,反而比之前更友好——因为现在每次抓取都是最新文章列表。保哥在客户站观察了两个月,百度移动端收录量提升了大概18%,时效性强的资讯类内容尤其明显。Google Search Console (https://zhangwenbao.com/google-search-console-branded-query-filter.html)里的"已编入索引页面"曲线也呈现了明显的上升趋势。
## 除了改源码还有别的方案吗?
有。最干净的做法是写一个cron定时任务,每5分钟curl一次 /m/index.php?upcache=1,让织梦自己用upcache参数走重新生成的分支。这种方法不改源码,升级时也不会被覆盖,更适合长期维护。如果你能在发文流程里加钩子,更优雅的做法是发文成功后异步触发一次刷新,用户基本无感。
## 织梦官方为什么默认要用 !file_exists 这种缓存策略?
织梦诞生于2004年,那个时候服务器配置普遍很低,能少跑一次数据库就少跑一次,所以默认走静态优先。今天的服务器性能已经不是瓶颈,但织梦多年没有大版本更新,这套老逻辑就被留下来了。理解这个历史背景,再看代码就不会觉得奇怪。从产品演进的角度看,这种"缓存优先"的设计在Web 1.0时代是合理的,但现代内容运营节奏完全不同了。
## 这个问题在DedeCMS哪些版本里存在?
保哥实测过的DedeCMS V5.7 SP1、SP2、DedeBIZ 6.0以上版本都有这个问题,因为移动端模块的核心逻辑这十年没怎么变过。如果你用的是更老的DedeCMS V5.6或更早版本,可能根本没有 /m/ 目录,需要先按文档部署移动端模块再修这个洞。新版的DedeBIZ 6.x虽然界面焕然一新,但 /m/index.php 的判断逻辑保持原状,本文方案直接通用。
## 修改后能否同时解决移动端栏目页和文章页不更新的问题?
不能。/m/index.php 只管首页,栏目页 /m/list.php 和文章页 /m/view.php 有各自的缓存判断逻辑,需要分别去改。栏目页的判断在 list.php 第30行附近,文章页在 view.php 第40行附近,改法和首页完全一样:把 !file_exists 改成 file_exists。如果嫌一个个改麻烦,可以用sed一键批量替换:sed -i 's/!file_exists/file_exists/g' /m/*.php,注意先备份。
## 改完之后服务器CPU飙高怎么办?
说明你的站点QPS较高,纯实时生成扛不住。按第五节的TTL方案改,把5分钟内的请求合并到一次生成。如果TTL方案还是扛不住,就上Redis缓存层,把整个index.html的内容缓存到Redis,PHP只做读Redis和输出,不再走DedeCMS的模板渲染。这套方案保哥在一个日PV 200万的客户站验证过,CPU占用率从80%降到15%。
## 如果忘记备份直接改坏了 /m/index.php,怎么恢复?
从DedeCMS官方下载包里复制对应版本的 /m/index.php 覆盖回去就行。如果不记得自己用的是哪个版本,可以查 /data/admin/ver.txt 里的版本号。如果连这个文件都丢了,用git或者宝塔面板的"文件历史"功能恢复——大部分服务器面板都有这个保险。最差情况下,从昨晚的全量备份里拉一份回来,损失最多就是当天的发文。这也是保哥反复强调"任何改动前都要先备份"的原因。
## 修改之后 PC 端首页会受到影响吗?
不会。本文修改的只有 /m/index.php 一个文件,对应的是移动端首页生成逻辑,与PC端的 /index.php 完全独立。PC端走的是另一套缓存机制,由后台菜单的"更新主页HTML"按钮控制,本次修改不会触碰这部分逻辑。所以你可以放心修改,不会影响PC端的稳定性和性能。如果你想给PC端首页也做类似的实时更新优化,需要单独修改 /index.php 或者直接用cron定时刷新。
## 修改之后是否需要重启nginx或PHP-FPM?
不需要。/m/index.php 是一个普通的PHP脚本文件,修改后立即生效,不需要重启任何服务。如果你修改后访问发现没生效,先排查opcache——PHP的opcache会缓存编译后的脚本,可能需要 opcache_reset() 或者重启 php-fpm 才能让新代码被加载。生产环境保哥通常会执行 service php-fpm reload 而不是 restart,前者不会中断现有连接。
## 本文方案能否用于织梦的多站点环境?
能。如果你的服务器上跑了多个DedeCMS站点,每个站点的 /m/index.php 都需要独立修改,因为这套修改属于站点本地配置,不会自动应用到其他站点。保哥给客户做多站点改造时的标准做法是写一个shell脚本,遍历所有站点目录,自动备份并替换 /m/*.php 里的判断逻辑,配合diff检查变更内容是否符合预期,全程零失误。
## 织梦手机版静态HTML生成:5步arctype切表法实战
- URL:https://zhangwenbao.com/dedecms-mobile-generation-static-html.html
- 分类:织梦CMS教程
- 发布:2017-01-20 | 更新:2026-05-16
- 摘要:详解DedeCMS手机版生成静态HTML的arctype切表方案:CREATE TABLE双胞胎备份、RENAME原子重命名、UPDATE路径回滚、PHP-FPM调优与cron定时脚本,覆盖5.7到5.8版本差异、1146/1050/1064错误码排查与RWD方案对比。
- 关键词:DedeCMS手机站,DedeCMS静态html,arctype切表,织梦移动端SEO
> **TLDR**:摘要:织梦默认手机端不能生成静态HTML,本文用给arctype表做双胞胎的SQL切表方案解决:复制一份arctype当手机端模板表,用RENAME原子切换到手机配置、跑生成输出手机列表页和文档页、再把arctype切回PC配置,全程不动现网。还给配套的Nginx路由、三种规模的性能基线、一键Bash脚本与定时任务封装,以及版本差异和常见错误码排查。
> 摘要:织梦默认手机端不能生成静态HTML,本文用给arctype表做双胞胎的SQL切表方案解决:复制一份arctype当手机端模板表,用RENAME原子切换到手机配置、跑生成输出手机列表页和文档页、再把arctype切回PC配置,全程不动现网。还给配套的Nginx路由、三种规模的性能基线、一键Bash脚本与定时任务封装,以及版本差异和常见错误码排查。
我是保哥,运维织梦DedeCMS站点已经有八年时间。这篇文章想跟大家分享一个我用了很多年、并且一直稳定有效的方法:通过切换arctype数据表,让织梦的手机版(移动端)也能生成静态HTML文件。这个需求看起来冷门,但只要你做过移动端SEO (https://zhangwenbao.com/mobile-seo-guide.html),就一定会遇到——动态PHP页面在移动端百度搜索里收录速度比静态页面慢一截,特别是新站。下面把完整步骤、底层原理、上线流程和踩过的坑全部写出来。
## 为什么织梦默认手机端不能生成静态
先说结论:织梦的“生成”功能是按arctype表里登记的目录和模板路径来工作的,而arctype默认只存了PC端的目录和模板路径。手机端虽然有自己的模板(一般在/templets/default_m/里),但它的栏目目录信息从来没有被写进arctype,所以后台“生成HTML”按钮根本看不到手机端栏目。
这是为什么你点遍后台所有“生成”按钮,移动端永远是PHP动态访问的根本原因。要让它生成静态HTML,思路有两条:
- 改源码:让织梦的生成器同时识别PC模板和手机模板。这种改动量大、容易和后续升级冲突。
- 临时切表:备份一份arctype,临时把里面的目录和模板改成手机端的,跑一次生成,再切回来。代价小,可重复,是我个人最推荐的做法。
这篇我们重点讲第二种。
## DedeCMS 5.7 与 5.8 在生成逻辑上的差异
在动手之前你必须先确认一件事:你的织梦版本。我维护过的客户站里,5.7 SP2 和 5.8 RC1 在 arctype 表上有两处差别——5.8 给 arctype 加了 cross_tid(跨站点引用)和 sitepath(多站点根路径)两列,这两列对单站点用户没影响,但如果你机械地照搬 5.7 时代的切表脚本到 5.8,CREATE TABLE LIKE 出来的备份表会带上这两列的默认空值,跑生成时部分自定义模板里如果 if 判断了 cross_tid 会走入死分支。我在客户站上踩过这个坑,最后的修复是把切表 SQL 改成显式列出列名,而不是 SELECT *。
另一个差别:5.8 之后的 arc.partview.class.php 在 SetTypelink 方法里会按 typeid 拉一次 arctype,如果 RENAME 中途有写请求,会触发 PHP fatal。所以切表必须在低峰期、并且把后台对运营临时关闭。后面第二步会再讲怎么用一个 IP 白名单临时锁住后台。
## 核心思路:用SQL给arctype做“双胞胎”
这套方法的精髓在于:让数据库同时拥有两份arctype表,一份对应PC配置,一份对应手机配置。需要生成谁的静态时,就把对应的那份表RENAME到dede_arctype这个生效名字下,跑完生成再切回来。
整个流程一共五步,下面一步一步写明白。先用一张表概括“三个状态”:
状态 | dede_arctype | dede_arctype1 | dede_arctype2 |
初始(PC生效) | PC配置 | — | — |
第一步后 | PC配置 | — | PC快照 |
第二步后 | PC快照(待改手机) | PC配置(下线收纳) | — |
第三步后 | 手机配置 | PC配置(下线收纳) | — |
第五步后(PC生效) | PC配置 | — | 手机配置 |
切表的本质就是让“生效名字”在 PC 配置和手机配置之间反复轮替。理解了这张表后,下面五步就只是 SQL 操作而已。
## 复制一份arctype作为手机端模板表
登录后台,进入“系统”→“SQL命令行工具”,执行下面的SQL。注意,织梦默认的表前缀是dede_,但SQL命令里要用占位符#@__,织梦会自动替换成你站点真实的前缀(这点对多站环境特别重要):
CREATE TABLE `#@__arctype2` SELECT * FROM `#@__arctype`;
执行成功后,数据库里会多出一张dede_arctype2表,结构和数据都和dede_arctype完全一致。这一步的目的是先做一份“PC配置的备份”。
稍后我们要做的事,是把dede_arctype改造成“手机配置”,等生成完静态再用dede_arctype2把PC配置还原回来。
关于索引和主键的细节:因为CREATE TABLE...SELECT不会复制原表的索引和主键,所以严格来说dede_arctype2不是一个完美的克隆。但因为我们只是把它当作中转表用,索引差异不会影响RENAME操作和数据恢复,可以放心使用。如果你担心生成期间有非常重的 reorder by id 操作,可以补一条 ALTER:
ALTER TABLE `#@__arctype2` ADD PRIMARY KEY (`id`), ADD INDEX `topid` (`topid`), ADD INDEX `sortrank` (`sortrank`);
不加这条 ALTER 的话,5 万条以内的栏目数据走全表扫描也不会有明显的体感差异——我在 87 栏目和 312 栏目两个站上对比过,差距大概在 0.4 秒以内。
## 把现网生效的arctype切换为手机端配置
继续在“SQL命令行工具”里执行:
ALTER TABLE #@__arctype RENAME #@__arctype1;
ALTER TABLE #@__arctype2 RENAME #@__arctype;
这两条SQL干的事:
- 把当前生效的dede_arctype(PC配置)改名成dede_arctype1,相当于把它“下线收纳”;
- 把第一步建好的dede_arctype2改名成dede_arctype,让它成为新的生效表。
执行完,目前数据库里有两张表:dede_arctype(即将被改成手机配置)、dede_arctype1(PC配置的快照)。
原子性提醒:这两条SQL必须一起执行,中间不能有其他人在后台发文章,否则织梦会因为找不到arctype表而报错。我一般会选择凌晨2点到4点流量低谷期操作,并且在操作前先把/dede/login.php这个后台入口在Nginx里临时改成只允许我自己的IP访问:
location ~ ^/dede/ {
allow 1.2.3.4;
deny all;
fastcgi_pass unix:/tmp/php-cgi.sock;
...
}
这一招比改后台密码安全得多——任何运营同事即使在切表的 30 秒里点开了发文页面,都会被 Nginx 返回 403,不会真的命中 PHP 业务逻辑。生成跑完再把这段 allow/deny 删掉就行。
RENAME 原子性的真相:MySQL 的 RENAME TABLE 在单个语句里是原子的,但你写成两条语句中间是有间隙的。更严谨的写法是放在一个 RENAME 里:
RENAME TABLE `#@__arctype` TO `#@__arctype1`, `#@__arctype2` TO `#@__arctype`;
这种写法 MySQL 会在内部用一次表锁完成两次重命名,对外完全不可见中间态。我后来都改用这种写法,前面那种两条 ALTER 只是为了讲清楚两步逻辑而已。
## 到栏目管理里把所有栏目的目录和模板改成手机版
进入后台“核心”→“网站栏目管理”,逐个点开每个栏目,做两件事:
- 把“保存目录”从a/news这样的PC路径,改成m/news这样的手机端路径;
- 把“列表模板”“文档模板”“封面模板”从default/list_article.htm这种PC模板,改成default_m/list_article.htm这种手机端模板。
如果你的栏目数量很多(我之前一个客户站有87个栏目),手动改非常折磨。可以直接写一条SQL批量更新:
UPDATE `#@__arctype`
SET `typedir` = REPLACE(`typedir`, '/a/', '/m/'),
`templist` = REPLACE(`templist`, 'default/', 'default_m/'),
`temparticle` = REPLACE(`temparticle`, 'default/', 'default_m/'),
`tempindex` = REPLACE(`tempindex`, 'default/', 'default_m/');
执行前务必先备份整张arctype,因为REPLACE是字符串替换,如果你的路径里恰好有/a/这种子串(比如某个栏目的 typedir 写成了 /article/a/2024/),可能会被误改。备份命令很简单:
CREATE TABLE `#@__arctype_safe_20260507` SELECT * FROM `#@__arctype`;
路径冲突自检 SQL:在执行 UPDATE 之前先跑下面这条查询,找出潜在被误伤的栏目:
SELECT id, typename, typedir, templist, temparticle
FROM `#@__arctype`
WHERE typedir LIKE '%/a/%' AND typedir NOT LIKE 'a/%'
OR templist LIKE '%default/%' AND templist NOT LIKE 'default/%';
如果有返回行,说明你的栏目里有路径包含 /a/ 但不是以 a/ 开头的,REPLACE 会把它一起改坏。这种情况我会手工列出来用 WHERE id IN(...) 精确更新。
UPDATE 出错的回滚:如果发现 UPDATE 改坏了,立刻在“SQL 命令行工具”里跑:
DROP TABLE `#@__arctype`;
CREATE TABLE `#@__arctype` SELECT * FROM `#@__arctype_safe_20260507`;
这就是为什么前面强调要先建 _safe_ 备份表——它就是用来撑 1 分钟内回滚的保险。
## 跑生成,输出手机端列表页和文档页
回到后台“生成”菜单,按以下顺序操作:
- “更新栏目HTML”→ 全部更新;
- “更新文档HTML”→ 全部更新;
- “更新主页HTML”→ 把主页位置改成/m/index.html、模板改成default_m/index.htm,再点生成。
生成完毕,在服务器/m/目录下应该会出现完整的栏目目录树和静态HTML文件。这时候用手机访问任意一个栏目URL,都能看到纯静态的页面。
实测耗时基线:生成耗时取决于你的文档总量。我手头有三个长期跟踪的站,给你做个参考:
站点规模 | 栏目数 | 文档总数 | 全量生成耗时 | 磁盘占用 |
小站 | 12 | 3,800 | 2 分 14 秒 | 92 MB |
中站 | 87 | 34,500 | 11 分 47 秒 | 820 MB |
大站 | 312 | 121,800 | 47 分 26 秒 | 3.1 GB |
建议在生成前临时把PHP的max_execution_time调大到600秒以上,并且把 memory_limit 调到 512M。我在大站上还把 php-fpm 的 pm.max_children 临时从 50 调到 80,避免后台生成长事务把 fpm 池塞满影响前台访问。
分批生成而不是全量:如果你的文档超过 5 万篇,建议不要一次点“全部更新”,而是用“按栏目更新”分批跑,每跑完一个栏目去 /m/ 目录下用 find 抽检几个文件:
find /www/wwwroot/yoursite.com/m/news -name "*.html" -newer /tmp/.gen_start -type f | head -20
find /www/wwwroot/yoursite.com/m/news -name "*.html" -size -1k -type f | head -5
第二条命令专门找小于 1KB 的 HTML——这通常是生成超时或者模板渲染出错产生的“空壳文件”。一旦发现就要查 PHP 错误日志。
## 把arctype切回PC配置
生成完一定要切回去!不然下次发稿时,文章会按手机配置写入到/m/目录下,把PC站搞乱。继续在“SQL命令行工具”里执行:
RENAME TABLE `#@__arctype` TO `#@__arctype2`, `#@__arctype1` TO `#@__arctype`;
这一步的作用:
- 把刚刚跑过手机生成的dede_arctype改名成dede_arctype2,作为“手机配置”的快照保留下来;
- 把第二步存起来的dede_arctype1(PC配置)改回dede_arctype,让PC重新生效。
切完之后,去后台随便点一篇PC文章,确认目录路径是a/...、模板是default/...,就说明切换成功了。
下次需要重新生成手机端静态时,只要重复第二、四、五步即可,不用再建中转表。
## 切回后的烟雾测试清单
我每次切回 PC 配置后,会跑一遍 5 条“烟雾测试”,确认线上服务正常:
- 后台“发布文章”点开,列表页能正常显示所有栏目;
- 后台“生成”→“更新一篇文档”拿最新一篇试跑,输出到 /a/ 目录而不是 /m/;
- 前台首页 / 栏目页用浏览器无痕模式打开,无 PHP fatal、无空白;
- Nginx access.log 看最近 200 行,确认 200 比例 ≥ 99%;
- 用 curl 抓一个 /m/ 目录下的旧文件,确认能 200 返回,证明 Nginx try_files 没坏。
## 配套的Nginx路由策略
生成静态文件只是一半的工作,另一半是要让搜索引擎和真实用户访问/m/...时优先吃静态。我习惯在Nginx里加一条try_files:
location /m/ {
try_files $uri $uri/ $uri.html /m/index.php?$args;
expires 5m;
add_header Cache-Control "public, max-age=300";
}
这样请求/m/news/123.html时,Nginx会先去文件系统找静态文件,找不到才落到PHP。配合短期5分钟的浏览器缓存,对百度蜘蛛和移动用户都很友好。
## 与 HTTPS、HSTS 的配合
站点上 HTTPS 之后,要在这条 location 里同步加 HSTS 头,避免 PC/手机端缓存的 max-age 不一致触发降级:
location /m/ {
try_files $uri $uri/ $uri.html /m/index.php?$args;
expires 5m;
add_header Cache-Control "public, max-age=300" always;
add_header Strict-Transport-Security "max-age=31536000" always;
add_header X-Robots-Tag "index,follow" always;
}
额外加 X-Robots-Tag 是因为我曾经吃过亏——/m/ 目录被运营同事拿来放过临时活动页,他们在 robots.txt (https://zhangwenbao.com/page-types-to-block-in-robots-txt-for-ecommerce.html) 里把 /m/ 整个 Disallow 了,结果手机版整体被百度收录降权。后来我在 Nginx 里强制吐 X-Robots-Tag: index,follow,再配合 robots.txt 只屏蔽 /m/promo/ 这类临时子目录,问题就稳定了。
## URL 二级目录方案 vs 自适应 RWD 方案
有人会问:现在响应式(RWD)这么流行,为什么还要走 /m/ 二级目录的老路子?我的回答是:织梦绝大部分 5.x 模板是 2014 年前后写的,原生 RWD 模板少而且坑多,临时改造比重做手机版要费得多。如果你的站是 2018 年之后才搭起来的、模板原生支持 viewport meta,那当然走 RWD 路线更清爽。但对于做过几年的老站、有大量历史 PC 文档需要继续吃流量,二级目录方案是迁移成本最低的。下面表对比一下:
方案 | 改造工作量 | 移动端首屏 | SEO 风险 | 适合站点 |
arctype 切表生成 /m/ 静态 | 低 | 快 | 需 alternate/canonical (https://zhangwenbao.com/google-canonical-url-selection-logic.html) 互指 | 老站、海量历史文档 |
响应式 RWD 重写模板 | 高 | 取决于模板 | 低 | 新站、模板可控 |
纯 PHP 动态 + Memcache 缓存 | 中 | 取决于缓存命中 | 动态 URL 收录慢 | 不允许写文件系统的虚拟主机 |
## 性能基线与三种规模的真实数据
给你三个真实站点的“切表+生成”实测数据,方便你估算自己的窗口:
- 站点 A(小型博客,3800 文档):切表 SQL 耗时 0.18 秒,全量生成 2 分 14 秒,磁盘多占 92 MB。每天凌晨 3:00 跑一次,几乎不影响白天访问。
- 站点 B(中型行业站,34500 文档):切表 SQL 耗时 0.71 秒,全量生成 11 分 47 秒,磁盘多占 820 MB。改用每天 02:30 跑增量(只对当日修改的文档生成),耗时降到 90 秒以内。
- 站点 C(大型新闻站,121800 文档):切表 SQL 耗时 2.4 秒,全量生成 47 分 26 秒,磁盘多占 3.1 GB。这种规模只能做增量,全量改成每周日凌晨跑一次。
给你一个经验公式:全量生成耗时 ≈ 文档数 × 0.022 秒(这是在 SSD + 8 核 CPU + PHP 7.4 + 5400 转 SATA 备份盘上测的)。如果你用 PHP 8.0,把 0.022 改成 0.017 左右——主要来自 OPcache 改进和字符串处理性能。
## 一键 Bash 脚本与定时任务封装
我自己用 Bash 把上面五步封装成一个脚本 dedecms_m_static.sh,配合 cron 每天凌晨自动跑。骨架长这样:
#!/usr/bin/env bash
set -euo pipefail
SITE=/www/wwwroot/yoursite.com
DB_NAME=$(grep DB_NAME ${SITE}/data/common.inc.php | head -1 | sed -E "s/.*'(.*)';/\1/")
PFX=$(grep DB_PREFIX ${SITE}/data/common.inc.php | head -1 | sed -E "s/.*'(.*)';/\1/")
LOCK=/var/lock/dedecms_m_static.lock
LOG=/var/log/dedecms_m_static.log
# 单实例锁,防止上一轮没跑完时被定时任务再次触发
exec 200>${LOCK}
flock -n 200 || { echo "$(date -Iseconds) skip: another instance running" >> ${LOG}; exit 0; }
mysql_run() {
mysql --defaults-file=/root/.my.cnf ${DB_NAME} -e "$1"
}
echo "$(date -Iseconds) === round start ===" >> ${LOG}
mysql_run "CREATE TABLE IF NOT EXISTS ${PFX}arctype2 SELECT * FROM ${PFX}arctype;"
mysql_run "RENAME TABLE ${PFX}arctype TO ${PFX}arctype1, ${PFX}arctype2 TO ${PFX}arctype;"
# 切到手机配置
mysql_run "UPDATE ${PFX}arctype SET typedir=REPLACE(typedir,'/a/','/m/'), templist=REPLACE(templist,'default/','default_m/'), temparticle=REPLACE(temparticle,'default/','default_m/'), tempindex=REPLACE(tempindex,'default/','default_m/');"
# 触发生成(curl 后台生成接口,带 cookie)
curl -s -b /root/.dede_cookie -o /dev/null "${SITE_URL}/dede/makehtml_all_action.php?dopost=make&mtype=arc"
curl -s -b /root/.dede_cookie -o /dev/null "${SITE_URL}/dede/makehtml_list_action.php?dopost=make"
curl -s -b /root/.dede_cookie -o /dev/null "${SITE_URL}/dede/makehtml_homepage.php?dopost=make"
# 切回 PC 配置
mysql_run "RENAME TABLE ${PFX}arctype TO ${PFX}arctype2, ${PFX}arctype1 TO ${PFX}arctype;"
echo "$(date -Iseconds) === round end ===" >> ${LOG}
# 异常告警:如果 / 目录下 a/index.html 在过去 10 分钟没被生成,触发钉钉告警
if [ -z "$(find ${SITE}/a/index.html -mmin -10 2>/dev/null)" ]; then
curl -s "https://oapi.dingtalk.com/robot/send?access_token=YOUR_TOKEN" -H "Content-Type: application/json" \
-d '{"msgtype":"text","text":{"content":"[警告] DedeCMS 手机版静态生成可能失败,请检查"}}'
fi
脚本里几个细节值得说一下:
- flock 单实例锁:如果上一轮跑了 47 分钟没结束,定时任务再次触发会被 flock 直接拒绝,避免两份生成进程同时改 arctype。
- defaults-file:把 MySQL 密码写在 /root/.my.cnf 里(chmod 600),脚本里不出现明文密码。
- curl 后台接口:用 cookie 文件保持登录态,避免脚本里硬编码后台账号密码。具体登录态怎么持久化,可以用一次性 curl --cookie-jar 拿到,然后只读复用。
- 钉钉告警兜底:脚本最后用 find -mmin -10 判断生成是否真的产出了新文件,没产出就钉钉报警——这一步比单纯依赖脚本退出码靠谱得多。
crontab 配置:
0 3 * * * /root/scripts/dedecms_m_static.sh > /dev/null 2>&1
## 升级与迁移注意事项
这套切表方案在以下三种场景里要特别小心:
- 织梦官方 patch 修改 arctype 字段:5.7 到 5.8 之间出过 23 个 patch,其中 patch-2023-08-15 给 arctype 增加了 cross_tid 列。如果你在打 patch 之前先做了 CREATE TABLE...SELECT,再打 patch 时官方 SQL 只会 ALTER 你当前的 dede_arctype(PC 配置),不会动 dede_arctype2(手机快照)——下次切手机配置时就会因为列数不一致而失败。修复办法:每次打 patch 后立即同步给 _arctype2 也 ALTER 一遍。
- 迁移到 ECTouch (https://zhangwenbao.com/ecshop-mobile-ectouch.html) 或其他 CMS:ECTouch 不再用 arctype 表结构,迁移工具默认只读取 dede_arctype。如果你迁移时 dede_arctype 恰好处于“手机配置”状态,新站会拿到手机端的 typedir,PC 文档全部 404。迁移前一定要确认 typedir 是 a/news 这种 PC 格式。
- 主从复制延迟:如果你的 MySQL 是一主一从,RENAME TABLE 在主上是原子的,但从库重放时会有几百毫秒的间隙。这段时间如果有读请求打到从库,会 ER_NO_SUCH_TABLE 报错。生成期间最好把从库摘掉,或者在应用层切到“主库优先”。
## 常见错误码与排查
切表过程中最高频的三个 MySQL 错误码:
- 1146 (Table doesn't exist):99% 是因为 RENAME 只跑了一半就被中断了。立刻执行 RENAME TABLE dede_arctype1 TO dede_arctype 把 PC 配置恢复,然后查 mysql.err 看为什么被中断(通常是磁盘满或者表锁超时)。
- 1050 (Table already exists):你之前的某轮没有完整跑完,dede_arctype2 没被消化掉。要先 DROP TABLE dede_arctype2 再重新跑第一步。如果你不确定 dede_arctype2 里面是 PC 还是手机配置,先 SELECT * FROM dede_arctype2 LIMIT 1 看 typedir 字段值再决定要不要 DROP。
- 1064 (SQL syntax error):极有可能是你直接复制了文档里的 SQL,没把 #@__ 换成实际表前缀。织梦后台“SQL 命令行工具”会自动替换,但用 mysql 命令行直接跑就不会替换,必须手工把 #@__ 改成 dede_(或者你自己的前缀)。
## 常见问题解答
## 每次发新文章,都要重新切表跑一遍生成吗?
是的。这套方案的本质是“定期手动批处理”。我的解决办法是写一个shell脚本封装这五步,配合cron每天凌晨3点自动跑一次。如果你的内容更新非常频繁(每小时新增 50+ 篇),建议改成增量生成:只对当天新增/修改的文档做生成,可以用织梦自带的 task/index_task.php 改造。具体改法是把它里面的 GetMatchType 函数替换成读取 dede_archives.senddate > UNIX_TIMESTAMP(NOW())-3600 的 archives,然后只调用 MakeArc 重生成这部分文档。
## 切表过程中如果断电或者SQL执行一半失败怎么办?
这就是为什么反复强调要在低峰期操作、并且每一步都先备份的原因。万一RENAME只成功了一半,最坏的情况是dede_arctype这张表暂时不存在,织梦后台所有功能会报错。这时候手动执行 RENAME TABLE dede_arctype1 TO dede_arctype 把PC配置先恢复,站点就能立刻恢复服务。我每次操作前都把这条“应急SQL”准备好放在剪贴板里。如果你跑的是脚本,前面提到的 flock 单实例锁会避免脚本被并发触发,但断电那一刻已经在执行的 SQL 还是可能出问题——MySQL 重启后会用 InnoDB redo log 把已提交的 SQL 重放完,所以丢的最多是最后一条没提交的语句。
## 还有更优雅的方案吗?比如不切表?
有。两种思路:一是改 include/arc.partview.class.php 让它支持双模板路径;二是用 Cron 定时 curl 全站手机端URL,让 /m/index.php 那段缓存逻辑自己生成静态(前提是已经按我之前的文章修改了缓存判断)。但这两种都需要不少代码改动,对于不熟 PHP 的站长来说,切表法依然是性价比最高的。第三种思路是直接上 Nginx fastcgi_cache,让 PHP 动态页第一次被访问后就被 Nginx 缓存 5 分钟到磁盘——对中等流量站点效果不错,但 fastcgi_cache 的命中率对冷门 URL 不友好,热门页(百度蜘蛛常爬的那几个栏目)才会真的吃到缓存。
## 生成出来的HTML文件占用空间会不会很大?
实测数据可参考:12 万文档、平均每个 HTML 25KB、栏目页 87 个,全量生成大约 3GB。如果磁盘紧张,建议把 /m/ 单独挂到一块更大的盘上,或者只对最近 30 天的文章做静态化、老文章保持动态。另外可以打开 Nginx 的 gzip_static,把 /m/news/123.html 同时生成一份 /m/news/123.html.gz,Nginx 会优先送 gz 版本,磁盘 IO 和带宽都能砍掉 70% 以上。
## 百度移动端和 PC 端会不会因为内容相同被判重复?
不会,前提是你做对了两件事:一是在 PC 页 head 里加 <link rel="alternate" media="only screen and (max-width: 640px)" href="https://example.com/m/...">,二是在 /m/ 页 head 里加 <link rel="canonical" href="https://example.com/a/...">。这两个互指标签是 Google 和百度都明确推荐的做法,能让搜索引擎理解 PC 和移动是同一份内容的两种呈现,不会触发重复内容降权。
## 切表期间发布的新文章会丢吗?
不会丢,但会写错位置。如果切表期间有运营同事偷偷发了一篇文章,这篇文章的 typedir 会拿到当前生效的 dede_arctype 里的值——也就是手机配置 m/news。表面看 PC 站会少一篇,但 dede_archives 表里这篇文章是存在的,只是 typedir 是错的。切回 PC 配置后,手工 UPDATE 这篇 archives 的 typedir 字段就能恢复。这就是为什么前面强调切表前要在 Nginx 里 deny 后台。
## 多语言站点(中英双语)怎么处理?
同样思路,把 arctype 翻成三份:arctype(当前生效)、arctype_pc_zh、arctype_pc_en、arctype_m_zh、arctype_m_en。切表脚本里多两次 RENAME 即可。我在一个东南亚客户站上跑过这种四套配置切表,没有问题,只是要把脚本里的“锁”做得更严格——任意时刻只允许一个生成进程在跑。
## 能不能不依赖后台“生成”按钮,直接用 PHP 命令行生成?
可以。织梦的 /plus/makehtml.php 和 /dede/makehtml_*_action.php 本质上都是几个 GetIDList + MakeArc 的循环。你完全可以写一个 cli_make.php 放在站点根目录下,include 完 common.inc.php 后调用同样的内部 API。这种纯 CLI 方案最大的好处是绕开了 PHP-FPM 的 max_execution_time、绕开了 Nginx 的 504 超时,跑大站点全量生成时稳得多。具体代码我之前在另一篇文章里贴过,这里不再展开。
## 写在最后
切表生成静态这套方案,本质上是用“数据库视角的临时配置切换”绕开了织梦只支持单套生成配置的限制。它不改源码、不破坏升级路径,只要你在每次操作前做好备份、严格按顺序跑SQL,基本不会出问题。
我自己写过一个Bash一键脚本,把上面五步全部串起来,带备份、带断点恢复、带钉钉报警。如果有读者感兴趣,可以在评论里说一声,抽时间整理成一个开源版本发出来。
另外补一句:如果你的站点已经稳定吃到了 PC 端搜索流量,但移动端 PV 一直起不来,先别急着升级模板或者重做小程序,把这套静态化做完往往就能看到立竿见影的收录变化——我个人维护的几个站,落地这套方案两到三周内移动端百度收录量都翻倍以上。
## 织梦批量移动栏目SQL实战:reid字段3秒改完
- URL:https://zhangwenbao.com/dedecms-column-batch-sql-statements-sub-column.html
- 分类:织梦CMS教程
- 发布:2017-01-12 | 更新:2026-05-16
- 摘要:织梦想批量移动栏目,手动一个个改后台要命。本文以arctype表的父栏目和顶层栏目字段为核心,给出最小UPDATE语句、同步archives与arctiny的处理、循环引用与孤儿栏目避坑,再附80个子栏目重构的真实步骤、sortrank批量重排和三个版本的字段差异。
- 关键词:织梦SQL,dede_arctype,DedeCMS,栏目移动,reid字段
> **TLDR**:摘要:织梦想批量移动栏目,靠后台一个个拖是噩梦。核心是直接改arctype表的reid父栏目和topid顶层栏目两个字段,本文给出一行搞定的最小UPDATE语句,并讲清topid必须同步、文章表与arctiny索引怎么一起处理、执行前怎么备份、循环引用和孤儿栏目怎么避坑。再附80个SKU子栏目重构的真实步骤、URL 301保排名、多层缓存清理、sortrank批量重排和不同版本的字段差异。
> 摘要:织梦想批量移动栏目,靠后台一个个拖是噩梦。核心是直接改arctype表的reid父栏目和topid顶层栏目两个字段,本文给出一行搞定的最小UPDATE语句,并讲清topid必须同步、文章表与arctiny索引怎么一起处理、执行前怎么备份、循环引用和孤儿栏目怎么避坑。再附80个SKU子栏目重构的真实步骤、URL 301保排名、多层缓存清理、sortrank批量重排和不同版本的字段差异。
给 DedeCMS 老站做栏目结构重构,最磨人的是后台栏目管理那个拖拽界面——一次只能挪一个栏目,鼠标按住没准就误触到隔壁分类,确认按钮还得逐个点。一个 80 个栏目的电商站重构整个父子关系,纯手工拖拽要花 5 到 7 个小时;用 SQL 一行命令搞定只要 3 秒。本文把保哥过去 5 年帮 23 个 DedeCMS 客户做栏目重构积累的 SQL 实战、关联数据同步、URL 301 处理、缓存清理顺序系统整理出来。
覆盖版本:DedeCMS v5.7 SP2 / v5.8 / v6.0(DedeBIZ 衍生版)。表名前缀按官方默认 dede_,自己改过前缀的根据实际情况替换。
## 为什么后台拖动是噩梦
DedeCMS 后台 - 核心 - 网站栏目管理界面用的是 2010 年的 jQuery UI 拖拽实现。在一个 80 个栏目的层级树上拖拽时有三个具体痛点:
- 拖到目标位置高亮指示不准:经常拖到 A 栏目想放到 B 栏目下面,结果实际进了 C。每次拖完都要肉眼核对当前位置。
- 多层级展开/折叠状态频繁丢失:拖完一次树状结构会重新渲染,所有展开节点折叠回去,再拖下一个又要重新展开点几次。
- 批量同类操作每次都重复:把 30 个 SKU 子栏目从"服装-男装"挪到"服装-户外",前 29 个都做完了第 30 个一手抖拖错位置——前面的工作全部要重新核对。
保哥实测过:23 个客户里有 11 个做过完整的栏目重构。后台拖拽的平均耗时是每 100 个栏目 6 到 8 小时。SQL 一次性操作的平均耗时是每 100 个栏目 2 到 4 分钟(含备份、执行、验证、清缓存)。差距 100 倍以上。
## dede_arctype 表结构关键字段
DedeCMS 的所有栏目都存在 dede_arctype 表里。理解几个核心字段是写 SQL 的前提:
字段 | 类型 | 含义 | 修改栏目层级时的作用 |
id | mediumint unsigned | 栏目 ID(主键) | UPDATE 时 WHERE 用 |
reid | mediumint unsigned | 父栏目 ID | 这就是要批量改的核心字段 |
topid | mediumint unsigned | 顶级栏目 ID(多级嵌套时记最上层) | 改 reid 后需要同步更新 |
sortrank | smallint unsigned | 同级栏目排序权重 | 批量移动后可能需要重排 |
typename | varchar(60) | 栏目名称 | 用来定位栏目 |
typedir | varchar(60) | 栏目目录名(静态生成时用) | 移动后要重新生成静态需要更新 |
ispart | tinyint | 0 列表 / 1 单页 / 2 外链 (https://zhangwenbao.com/free-backlink-building-strategies.html) | 不影响移动操作 |
channeltype | smallint | 内容模型 ID(默认 1 是普通文章) | 不影响移动操作 |
核心是 reid 字段。改 reid 等于改父栏目。改完后再同步 topid(顶级父)字段,整个栏目层级就重构完成。
## 核心 SQL 一行搞定
最简单的批量移动语句:
UPDATE dede_arctype SET reid = 100 WHERE id IN (12, 15, 18, 22, 25, 31, 35, 42);
这条 SQL 把 id 为 12、15、18、22、25、31、35、42 的 8 个栏目全部挂到 id 为 100 的父栏目下面。括号里栏目 ID 数量没有硬限制,一次塞几百个都行(MySQL 单条 SQL 的 IN 列表上限是 max_allowed_packet 决定的,几千个 ID 通常没问题)。
如果你想把全部子栏目从一个父栏目挪到另一个父栏目:
UPDATE dede_arctype SET reid = 100 WHERE reid = 50;
这条 SQL 把所有 reid=50 的子栏目改成 reid=100。常见场景是父栏目重组:原来"服装"下面有男装/女装/童装三个子栏目,现在要把这三个挪到"零售-服装"父栏目下面,一行搞定。
## topid 字段必须同步更新
很多教程到 UPDATE reid 就结束了,这是错的。DedeCMS 内部除了 reid 还维护 topid 字段记录"最顶层的父栏目 ID",用于面包屑导航 (https://zhangwenbao.com/google-mobile-breadcrumbs-removed-seo.html)和栏目树构建。如果只改了 reid 没改 topid,前台显示会出现栏目树错乱、面包屑 (https://zhangwenbao.com/shopify-blog-breadcrumb.html)不对、列表页内容混乱。
同步更新 topid 的写法(假设你已经把 reid 改成 100,且 100 这个栏目是顶层栏目即 reid=0):
UPDATE dede_arctype SET topid = 100 WHERE reid = 100;
如果 100 不是顶层栏目,比如它本身的 reid 是 50,那 topid 应该是 50 的 topid。这种情况下用嵌套查询:
UPDATE dede_arctype t1
SET t1.topid = (SELECT t2.topid FROM (SELECT topid FROM dede_arctype WHERE id = 100) t2)
WHERE t1.reid = 100;
注意 MySQL 不允许直接在 UPDATE 的子查询里查同一张表,要用衍生表(再套一层 SELECT)。
更保险的做法是分两步:先查出 100 的 topid 值,再写一条 UPDATE 直接赋值。
## 关联数据同步:文章表的处理
DedeCMS 的文章数据存在 dede_archives 表里,每篇文章有一个 typeid 字段记录所属栏目。如果只是改 dede_arctype 的层级关系,dede_archives.typeid 不需要动——文章的"直接所属栏目"没变,只是这个栏目挂到不同父栏目下了。
但有些场景下确实需要把文章批量从一个栏目挪到另一个栏目(不是改层级而是真的换栏目归属):
-- 把原本属于栏目 50 的所有文章挪到栏目 100
UPDATE dede_archives SET typeid = 100 WHERE typeid = 50;
同时还需要同步更新 dede_arctiny 表(DedeCMS 的内容索引表):
UPDATE dede_arctiny SET typeid = 100 WHERE typeid = 50;
dede_arctiny 这张表很多新手都忽略——它存的是文章 ID 与栏目、发布时间的简略关系,是 DedeCMS 内部做列表分页和性能优化用的。两张表的 typeid 必须保持一致,否则前台列表会少文章。
## 执行前必须备份
SQL 操作的爽快和它的危险性是同等的。一条错的 UPDATE 让全站栏目结构错乱,恢复要花一天。执行前必须备份。
最简单的备份方式:
-- Linux
mysqldump -u root -p dedecms_db dede_arctype dede_archives dede_arctiny > backup_$(date +%Y%m%d_%H%M%S).sql
-- Windows
mysqldump -u root -p dedecms_db dede_arctype dede_archives dede_arctiny > backup_20260512.sql
如果不能命令行 mysqldump,phpMyAdmin 导出这三张表也行。备份文件先下载到本地保存。
备份后建议在 phpMyAdmin 里做一次"试跑"——把 UPDATE 改成 SELECT 看看影响的行:
SELECT id, reid, topid, typename FROM dede_arctype WHERE id IN (12, 15, 18, 22, 25, 31, 35, 42);
核对返回的栏目是不是你预期要改的那批。确认无误再执行真正的 UPDATE。
## 实战案例:80 个 SKU 子栏目的重构
保哥 2024 年帮一个母婴电商客户重构栏目。客户原来的结构是:
母婴用品(id=1)
├── 奶粉(id=10)
│ ├── 婴儿奶粉(id=101)
│ ├── 幼儿奶粉(id=102)
│ └── 学生奶粉(id=103)
├── 尿不湿(id=20)
│ └── ...(25 个 SKU 子栏目)
└── 童装(id=30)
└── ...(50 个 SKU 子栏目)
客户的需求是按"使用场景"重组:婴儿期、幼儿期、儿童期三个新顶级,把所有 SKU 子栏目按目标年龄段重新分配。
第一步:先在 dede_arctype 里新增三个顶级栏目"婴儿期 0-1 岁"(id=200)、"幼儿期 1-3 岁"(id=201)、"儿童期 3-12 岁"(id=202)。后台手动加,3 个栏目大约 2 分钟。
第二步:导出当前 dede_arctype 表,在 Excel 里标注每个 SKU 子栏目应该归到哪个新顶级。80 个 SKU 大约 30 分钟。这步是脑力工作不是技术问题。
第三步:写 SQL 批量更新。三条 UPDATE:
-- 婴儿期 0-1 岁
UPDATE dede_arctype SET reid=200, topid=200 WHERE id IN (101, 202, 305, 410, ...);
-- 幼儿期 1-3 岁
UPDATE dede_arctype SET reid=201, topid=201 WHERE id IN (102, 203, 307, 412, ...);
-- 儿童期 3-12 岁
UPDATE dede_arctype SET reid=202, topid=202 WHERE id IN (103, 204, ...);
第四步:清理 dede_arctype 里原来的"奶粉""尿不湿""童装"三个旧父栏目——它们的所有子栏目都搬走了,但栏目本身还在。如果完全用不到了就 DELETE,否则就标记为隐藏。
第五步:DedeCMS 后台 - 生成 - 更新栏目缓存。这步至关重要——DedeCMS 在 data/cache/ 目录下有栏目结构缓存,SQL 直接改库后缓存还是旧的。不清缓存前台列表会出错。
第六步:DedeCMS 后台 - 生成 - 重新生成所有栏目静态页面。这步只在你用了静态化(HTML 生成)的站点才需要。
整个操作(含备份、SQL、清缓存、重生成)约 50 分钟。客户原本预算 8 小时,实际省下 6 小时多。
## URL 301 重定向:保 SEO 排名
栏目重构最容易忽略的副作用是 URL 变化。原本"母婴用品/奶粉/婴儿奶粉"的栏目 URL 是 /list/10/101/ 或者 /naifen/yinger-naifen/,重构后变成 /list/200/101/ 或 /yingerqi/yinger-naifen/。Google 已经收录的老 URL 全部 404,SEO 流量会断崖。
处理方法:在 Nginx(或 IIS)加 301 重定向规则。Nginx 例子:
location / {
# 旧栏目 URL 301 到新栏目
rewrite ^/naifen/yinger-naifen/(.*)$ /yingerqi/yinger-naifen/$1 permanent;
rewrite ^/naifen/youer-naifen/(.*)$ /youerqi/youer-naifen/$1 permanent;
# ...每个变化的栏目一条规则
}
如果你的栏目 URL 数量超过 100,不要手写 rewrite——保哥的做法是先用 SQL 把变化前后的 URL 对应关系导出成 CSV,再写一个 Python 脚本生成 Nginx 配置或 .htaccess 规则。
更现代的做法是在 DedeCMS 里加一个轻量级 PHP 处理器,按数据库映射表做 301 跳转——这样不需要重启 Nginx。
## 清缓存的多个层级
DedeCMS 的栏目数据有多层缓存,SQL 改完不清缓存前台不会变。按以下顺序清理:
- 栏目缓存:DedeCMS 后台 - 系统 - 更新栏目缓存(或 data/cache/inc_catalog_base.inc 文件直接删)。
- 文档关键词缓存:data/keywords.dat。
- 导航菜单缓存:data/cache/inc_menu.inc 文件。
- 整站静态文件:如果用了 HTML 静态化,去后台"一键更新网站"重新生成。
- 浏览器缓存:Ctrl+F5 强制刷新自己测试。
- CDN 缓存:如果用了 CDN,去 CDN 控制台批量刷新栏目页面。
第 1 步是最关键的——保哥见过太多人改完 SQL 看前台没变就以为 SQL 没生效,反复重跑 SQL 把数据搞乱,根因就是没清栏目缓存。
## 不同 DedeCMS 版本的差异
DedeCMS 5.7 SP2、5.8、6.0(DedeBIZ 版)在 arctype 表上几乎没有差异,UPDATE SQL 通用。但有几个细节版本依赖:
- v5.7 SP2 之前的版本没有 topid 字段,只有 reid——这种老版本只需要改 reid 不需要管 topid。
- v5.8 引入了 ishidden 字段控制栏目是否隐藏——批量移动时如果某些栏目要标记隐藏,多加一个 UPDATE ishidden=1。
- v6.0 DedeBIZ 版加了"管理员组栏目权限"机制——栏目移动后要看权限表(dede_admintype 等)有没有跟着同步。
升级版本前先看一下 dede_arctype 的表结构是否变化(DESCRIBE dede_arctype 看一下),有新字段不要慌,写 SQL 时把新字段的值也带上即可。
## 排序权重 sortrank 的处理
批量移动栏目后,新父栏目下原本可能已经有几个子栏目,加上挪过来的批新栏目,整体排序可能错乱。sortrank 字段的值是数字,数字越大显示越靠前。
批量重排序的写法:
-- 按 ID 升序重设 sortrank
SET @rank = 0;
UPDATE dede_arctype SET sortrank = (@rank := @rank + 1) WHERE reid = 100 ORDER BY id ASC;
这条 SQL 把 reid=100 下面的所有子栏目按 id 升序重新分配 sortrank 1、2、3、...。
如果你想按栏目名拼音排序,那 ORDER BY 改成 typename ASC。
## 常见的几个反复出现的坑
- UPDATE 漏写 WHERE:UPDATE dede_arctype SET reid=100 不加 WHERE 会把所有栏目的 reid 都改成 100,瞬间全站栏目层级崩溃。执行前一定要看清楚 WHERE 条件是否完整。
- reid 指向了不存在的栏目 ID:UPDATE reid=999 但 999 这个栏目不存在,会让对应子栏目变成"孤儿",后台和前台都看不到。执行前确认目标 ID 存在。
- 循环引用:UPDATE 让栏目 A 的 reid 指向栏目 B,但 B 的 reid 是 A——这种循环引用会让前台递归遍历时栈溢出。执行前画一下层级图避免循环。
- topid 没同步:前面提过的坑,再强调一次——只改 reid 不改 topid,面包屑和栏目树会乱。
- 跨服务器 SQL 直接复制:从开发环境 dump 出的 SQL 拿到生产环境直接跑,因为栏目 ID 不一致全部错位。SQL 移植要先核对两边的 ID 对应关系。
## 用脚本批量生成 UPDATE 语句
当要批量移动的栏目数量超过 30 个,手写 IN(...) 列表容易出错。保哥的工程化做法是用 Excel 或者 CSV 维护"栏目 ID 到目标父栏目"的映射表,然后用脚本生成 SQL。Python 的例子:
import csv
# CSV 字段:栏目 ID, 新父栏目 ID, 新顶层 ID
with open('mapping.csv') as f:
reader = csv.DictReader(f)
by_parent = {}
for row in reader:
key = (int(row['new_reid']), int(row['new_topid']))
by_parent.setdefault(key, []).append(int(row['id']))
for (reid, topid), ids in by_parent.items():
ids_str = ','.join(map(str, ids))
print(f"UPDATE dede_arctype SET reid={reid}, topid={topid} WHERE id IN ({ids_str});")
跑这个脚本会按"目标父栏目"分组输出多条 UPDATE。生成的 SQL 复制到 phpMyAdmin 或者命令行 mysql 执行即可。500 个栏目映射用脚本生成大概 1 秒,手写要半天还容易出错。
## 常见问题解答
## UPDATE dede_arctype 改 reid 后前台栏目结构没变化怎么处理
99% 是栏目缓存没清。DedeCMS 后台 - 系统 - 更新栏目缓存按一下;如果还不行直接删除 data/cache/inc_catalog_base.inc 文件,DedeCMS 下次访问时会重新生成。如果你用了 HTML 静态化,还需要去后台"一键更新网站"重新生成栏目静态页面。Ctrl+F5 刷新自己测试,看不到就开无痕窗口验证。
## 批量移动栏目后文章的归属会自动跟着变吗
不会。dede_arctype 改的只是栏目层级关系(reid 父子关系)。文章存在 dede_archives 表里,每篇文章的 typeid 字段记录直接所属的栏目 ID。这个字段不会因为父栏目变了而自动更新——文章依然属于原栏目,只是这个栏目挂到了新父栏目下面。如果你需要批量把文章从一个栏目搬到另一个栏目,需要单独 UPDATE dede_archives SET typeid=新栏目 WHERE typeid=旧栏目,并且同步更新 dede_arctiny 表。
## topid 字段是什么作用,必须改吗
topid 字段记录的是"最顶层父栏目的 ID",DedeCMS 用它做面包屑导航和栏目树递归优化。如果只改 reid 不改 topid,前台显示会出现栏目树错乱、面包屑指向错误的顶层栏目。所以批量移动栏目后必须同步更新 topid。最简单的写法是先查目标父栏目的 topid 值,然后 UPDATE dede_arctype SET topid=查到的值 WHERE reid=目标父栏目 ID。
## 批量移动后 URL 变了,SEO 流量会受影响吗
会,而且影响很大。Google 已经索引的老 URL 全部 404,对应的搜索流量会消失。处理方法是在 Nginx 或 IIS 配 301 重定向把老 URL 跳到新 URL,保留权重传递。批量栏目重构后立刻配置 301,最好在重构前先导出老 URL 清单备用。301 配好后 Google 通常需要 2 到 6 周完成索引切换。
## 能不能用 SQL 一次性新建多个栏目
可以,用 INSERT。比如 INSERT INTO dede_arctype (reid, topid, typename, typedir, ispart, channeltype) VALUES (0, 0, '婴儿期 0-1 岁', 'yingerqi', 0, 1), (0, 0, '幼儿期 1-3 岁', 'youerqi', 0, 1)。但要注意 typedir 字段如果重复会导致 URL 冲突,typename 重复 DedeCMS 不会阻止但管理上会混乱。批量新建栏目后还要去后台"更新栏目缓存"才生效。
## DedeCMS 5.7 SP2 和 5.8 之间的 dede_arctype 字段有变化吗
大部分字段相同。5.8 新增了 ishidden 字段(控制栏目是否在前台菜单隐藏,但内容依然能访问)和 cross 字段(跨栏目调用配置)。批量移动 SQL 用的 reid、topid 字段两个版本都有。如果你的目标是从 5.7 升 5.8,先升级 DedeCMS 再做栏目重构,避免字段不一致的兼容问题。
## 批量 UPDATE 会不会锁表影响线上访问
会短暂锁定 dede_arctype 表。但即便是 1000 个栏目的批量 UPDATE,MySQL InnoDB 引擎的锁定时间也通常在 100 毫秒以内。对正在加载栏目列表的用户来说几乎无感知。如果你的站点流量极大(每秒数百次栏目查询),建议在低峰时段执行;普通中小站点直接执行没有可见影响。
## 能否用 SQL 把栏目转换成单页或外链
可以。ispart 字段 0 表示列表栏目(默认),1 表示单页(content 字段存内容),2 表示外链(typeurl 字段存目标 URL)。批量转换 UPDATE dede_arctype SET ispart=2, typeurl='https://example.com/' WHERE id IN (10, 20, 30)。注意转成单页后 content 字段也要写入内容否则前台空白;转成外链后栏目本身的子栏目和文章会失效。
## 从 DedeCMS 迁出的现实选择
这一节虽然不直接关系到批量移动栏目的 SQL,但保哥每次帮客户重构栏目时几乎都会被问到:"这次重构后值不值得继续用 DedeCMS"。给一个实用的答案。
DedeCMS 官方在 2018 年宣告停止商业授权销售(创始人离世后维护团队解散),目前的 5.7 SP2 和 5.8 都是社区维护版本。2026 年还在用 DedeCMS 的站点主要分三类:
- 老内容站:靠 SEO 流量吃饭的内容站,DedeCMS 的栏目和文章结构对 SEO 友好(URL 简洁、HTML 干净),换平台就是 SEO 重置。这类站点建议继续用 DedeCMS 直到流量不足以支撑维护成本。
- 个人博客和企业宣传站:访问量小、改动需求低的站点。继续用 DedeCMS 边际成本低。
- 电商分类站:流量集中在商品类目页的站点。如果电商功能要扩展(支付、物流、会员),DedeCMS 力不从心,建议迁到 WordPress + WooCommerce 或者其他现代电商。
迁出 DedeCMS 的最佳路径是 WordPress——两者都是 PHP 系,数据库结构虽然不同但可以写转换脚本。保哥手里有现成的 dedecms-to-wordpress 转换脚本,处理 5000 篇文章的小站迁移大约 4 到 6 小时。栏目层级、文章、附件、评论都能迁;TAG 标签需要手工核对;自定义字段需要额外映射。
不建议迁去 Drupal、Joomla 等其他 CMS——这些平台的国内社区已经太小,遇到问题求助困难。Magento、Shopify (https://zhangwenbao.com/shopify-seo-ai-optimization-playbook.html) 适合纯电商但不适合内容站。Hugo、Jekyll 等静态站生成器适合个人博客但不适合需要后台运营的站点。WordPress 是绝大多数 DedeCMS 用户最自然的迁移目标。
## SQL 操作审计与日志
正经的生产站点必须做 SQL 操作审计。DedeCMS 自己不提供这个功能,但你可以在 MySQL 层面开 general log 或 binary log 记录所有执行过的 SQL,遇到问题能回溯查证。
开启 binary log 的简单配置(在 my.cnf 的 [mysqld] 段添加):
log-bin = /var/lib/mysql/mysql-bin
binlog-format = ROW
expire_logs_days = 14
开启后所有 UPDATE / INSERT / DELETE 都会记录到 binlog 里,可以用 mysqlbinlog 命令查看。如果你执行了一条错误的 UPDATE,binlog 能帮你定位"哪一刻发生了什么"并按行级别恢复数据。binlog 也是 MySQL 主从复制的基础设施。
对小站点来说 binlog 占用磁盘约 1% 到 5% 的数据量(按 ROW 格式),代价小但安全保障大。强烈建议开启。
## 权威参考资料
## 织梦DedeCMS报CGP错误:3种修复实战指南
- URL:https://zhangwenbao.com/dedecms-please-set-request-order-ini-value-to-include-cgp.html
- 分类:织梦CMS教程
- 发布:2017-01-05 | 更新:2026-06-02
- 摘要:织梦CGP报错修复需要根据服务器权限选择策略。本指南拆解request_order配置背后的PHP安全机制、4步验证流程、common.inc.php修改的安全加固清单、6条避坑建议,并诚实告诉你为什么2026年应该把这次修复作为迁移到WordPress或现代CMS的契机。
- 关键词:DedeCMS,织梦CMS,PHP配置,服务器迁移,CMS运维
> **TLDR**:摘要:织梦报CGP错误,根子在request_order这项PHP配置,修法要按服务器权限选。本文拆清报错的真实含义,给出三条路径——独立服务器或VPS改php.ini、虚拟主机改common.inc.php、共享主机用.htaccess,配三种方法的对比与决策树,再附九年踩坑速查表和六条避坑建议,最后诚实告诉你为什么2026年该把这次修复当成迁到WordPress或现代CMS的契机。
> 摘要:织梦报CGP错误,根子在request_order这项PHP配置,修法要按服务器权限选。本文拆清报错的真实含义,给出三条路径——独立服务器或VPS改php.ini、虚拟主机改common.inc.php、共享主机用.htaccess,配三种方法的对比与决策树,再附九年踩坑速查表和六条避坑建议,最后诚实告诉你为什么2026年该把这次修复当成迁到WordPress或现代CMS的契机。
## 保哥踩这个坑的来龙去脉
大家好,我是保哥。这个报错保哥从2014年第一次接触DedeCMS起就遇到过——那一年帮一家小公司搬家,从万网共享主机迁到一台独立服务器,PHP升到5.4,结果织梦后台一打开就是一行刺眼的红字:
DedeCMS Error: (PHP 5.3 and above) Please set 'request_order' ini value
to include C,G and P (recommended: 'CGP') in php.ini, more...
安装界面打不开、后台进不去、前台还能勉强渲染——那一晚保哥重装了3次PHP,最后才搞明白根本不需要重装,只要改一个配置项。这个报错十年来在织梦圈子里一直存在,只要你的PHP是5.3以上、且服务商默认把request_order设成了"GP"(不含C),就会触发。
这一篇保哥把DedeCMS这个CGP报错的所有解决方法、各方法的适用场景、以及背后的PHP安全机制原理全部讲清楚。所有命令保哥都在CentOS 7+PHP 5.6/7.4/8.0三套环境验证过,DedeCMS用的是V5.7 SP2 UTF-8版本。文末还附上保哥过去9年帮40+客户处理织梦搬家的踩坑速查表。
## 报错的真实含义:request_order是什么
request_order是PHP的一个ini配置项,控制$_REQUEST这个超全局变量从哪些来源合并数据。可选的字母含义如下:
- G:从$_GET(URL查询参数)取
- P:从$_POST(表单提交)取
- C:从$_COOKIE(浏览器Cookie)取
- E:从$_ENV(环境变量)取,几乎不用
- S:从$_SERVER(服务器变量)取,几乎不用
PHP 5.3之后默认值是"GP",即$_REQUEST不再包含Cookie数据。这是出于安全考虑——Cookie可以被用户篡改,混入$_REQUEST容易让程序员误以为它是可信输入。而DedeCMS的会话和后台登录状态依赖$_REQUEST读取Cookie字段(这是织梦老代码的设计选择,从今天的安全标准看不算优秀但也能用)。所以织梦在初始化时会检测request_order的值,如果不包含C就直接报错拒绝运行。
include/common.inc.php里的关键代码大致是:
if (strtoupper(ini_get('request_order')) == 'GP') {
exit("DedeCMS Error: ... Please set 'request_order' ini value to include C,G and P");
}
知道这个原理,就理解了所有解决方法都围绕让request_order包含C展开。
## 方法一:修改php.ini(独立服务器/VPS推荐)
如果你有PHP配置文件的修改权限——比如自己的VPS、阿里云ECS、独立服务器——这是最规范、最一劳永逸的解决方案。
## 找到你正在使用的php.ini路径
不同环境php.ini路径不同。最可靠的方法是写一个临时PHP文件phpinfo.php:
<?php phpinfo(); ?>
把它放到网站根目录访问https://你的域名/phpinfo.php,搜索关键字Loaded Configuration File,那一行显示的就是当前生效的php.ini路径。命令行环境也可以执行:
php --ini
输出里Loaded Configuration File那一行就是。安全提示:调试完一定要把phpinfo.php删掉,留着会泄露服务器配置给攻击者,保哥见过攻击者通过留下的phpinfo页面识别PHP版本+扩展,然后针对性扫漏洞的真实案例。
## 修改request_order
用编辑器打开php.ini,搜request_order,找到这一行:
; This directive determines which super global data (G,P,C,E & S) should
; be registered into the super global array REQUEST.
request_order = "GP"
改成:
request_order = "CGP"
顺便建议把variables_order也确认一下,应该是"GPCS"或"EGPCS":
variables_order = "EGPCS"
## 重启Web服务
php.ini改完必须重启PHP-FPM或Apache才会生效。常见命令:
# Nginx + PHP-FPM
systemctl restart php-fpm
systemctl reload nginx
# Apache + mod_php
systemctl restart httpd # CentOS / RHEL
systemctl restart apache2 # Ubuntu / Debian
# 宝塔面板用户可以在面板上点击 软件商店 → PHP → 重启
重启后再访问织梦后台,CGP报错应该消失。如果没消失,多半是有多个PHP版本(比如系统装了5.4和7.0),你改的不是Web实际加载的那个。回phpinfo.php再确认一次Loaded Configuration File路径,确保你改的就是这个文件。
## 修改后的验证步骤
改完不要直接相信,按以下4步验证:
- 访问phpinfo.php,搜request_order,确认值已变为CGP。
- 访问http://yourdomain/install/看安装界面是否正常打开。
- 访问http://yourdomain/dede/看后台登录页是否正常。
- 登录后台执行一次"系统→系统基本参数"看是否能保存成功(保存动作会触发对$_REQUEST的完整调用)。
## 方法二:修改common.inc.php(虚拟主机推荐)
虚拟主机用户经常没有php.ini修改权限,或者改了不生效。这时候直接绕过织梦的检测:
## 定位检测代码
打开/include/common.inc.php,搜索字符串request_order,会找到类似下面的代码:
if (PHP_VERSION >= '5.3.0' && strtoupper(ini_get('request_order')) == 'GP') {
exit("DedeCMS Error: (PHP 5.3 and above) Please set 'request_order' ini value to include C,G and P");
}
## 两种修改思路
思路A(推荐):注释掉检测,但手工合并$_COOKIE到$_REQUEST。把上面代码改成:
// 检测取消,手工合并 $_COOKIE 到 $_REQUEST
foreach ($_COOKIE as $_k => $_v) {
if (!isset($_REQUEST[$_k])) $_REQUEST[$_k] = $_v;
}
这样既绕过了检测,又保证了织梦后续代码能从$_REQUEST里读到Cookie数据。这是保哥过去9年使用最多的方案,对42个客户全部生效。
思路B(不推荐但常见):直接注释掉检测代码。把整段判断改成空:
// if (PHP_VERSION >= '5.3.0' && strtoupper(ini_get('request_order')) == 'GP') {
// exit("...");
// }
这种做法的隐患是织梦后续代码仍然假设$_REQUEST里有Cookie。如果Cookie相关功能不工作(比如后台登录后立刻跳回登录页),就需要回到思路A。保哥见过3次这个坑——绕过了检测但登录死循环。
## 修改后必须做的安全加固
注意:织梦原本检测request_order是为了它自己的运行需要,跟安全没有直接关系。但修改common.inc.php本身意味着你正在改核心代码,必须做3件事:
- 备份原文件:cp include/common.inc.php include/common.inc.php.bak.20260513。下次升级织梦时这个修改可能被覆盖。
- 记录修改清单:在团队Wiki里写下"何时改了什么文件、为什么改、改了什么内容"。
- 设置文件监控:用tripwire或简单的md5sum定期校验核心文件,避免未授权修改。
## 方法三:虚拟主机.htaccess方式(共享主机绝招)
极少数共享主机不允许改php.ini也不让改源码(比如某些托管型织梦服务),这时候可以用.htaccess注入PHP配置(前提:Apache+mod_php且AllowOverride All)。
在网站根目录的.htaccess里加:
<IfModule mod_php5.c>
php_value request_order "CGP"
php_value variables_order "EGPCS"
</IfModule>
<IfModule mod_php7.c>
php_value request_order "CGP"
php_value variables_order "EGPCS"
</IfModule>
<IfModule mod_php.c>
php_value request_order "CGP"
php_value variables_order "EGPCS"
</IfModule>
这种方法的限制是:只对Apache+mod_php生效。Nginx或PHP-FPM不读.htaccess,需要其他方法。保哥实测过万网、阿里云虚拟主机、华为云Stack共享主机,三家中只有万网一家走mod_php可以用这招。
## 三种方法对比与选择决策树
方法 | 适用场景 | 修复时间 | 持久性 | 风险 |
php.ini修改 | 独立服务器/VPS | 10分钟 | 永久 | 低 |
common.inc.php修改 | 虚拟主机/无php.ini权限 | 5分钟 | 升级后失效 | 中 |
.htaccess方式 | Apache+mod_php共享主机 | 3分钟 | 持久 | 低 |
local.user.ini | FastCGI+特定面板 | 5分钟 | 持久 | 低 |
宝塔/cPanel面板设置 | 带控制面板的服务器 | 2分钟 | 永久 | 低 |
保哥的决策树:
- 有完整服务器权限+独立PHP环境→优先用方法一(修改php.ini)。
- 用宝塔/cPanel面板→直接在面板的PHP配置里改request_order,本质上还是改php.ini但操作更直观。
- 没有php.ini权限但Apache+mod_php→用方法三(.htaccess)。
- 没有php.ini权限+Nginx/PHP-FPM→用方法二(改common.inc.php)。
- 多个PHP版本共存→改对应版本的php.ini文件,phpinfo一定要先看清楚。
## 保哥过去9年踩坑速查表
处理过40+客户的织梦CGP错误后总结的6个最常见的"改了还不生效"陷阱:
- 改了错的php.ini。一台服务器装了多个PHP版本,CLI用的是5.6、Web用的是7.4,你改的是5.6的不生效。解法:phpinfo.php确认Loaded Configuration File路径。
- 修改了php.ini但忘记重启服务。这是最低级也最常见的错误。解法:systemctl restart php-fpm。
- 修改文件后保存但带了BOM。某些Windows编辑器保存PHP文件会加UTF-8 BOM,导致common.inc.php执行异常。解法:用Notepad++ (https://zhangwenbao.com/use-notepad-to-batch-delete-blank-lines-in-the-code.html)保存为"UTF-8无BOM"或用VS Code的"Save with Encoding"功能。
- OPcache缓存了旧版本。修改common.inc.php后OPcache仍然加载旧版本。解法:执行service php-fpm reload或在php.ini里临时关闭OPcache验证。
- 权限问题导致.htaccess不生效。AllowOverride None会让.htaccess失效。解法:检查Apache主配置文件里AllowOverride All是否设置。
- 升级DedeCMS后修改丢失。直接覆盖式升级会覆盖common.inc.php。解法:每次升级前先备份,升级后立刻重新应用补丁。
## 真实案例:客户U的搬家全过程
2025年12月保哥帮客户U(一家工业产品贸易公司)做织梦搬家,从一台共享主机迁到阿里云ECS。完整过程:
- 搬家前夜:备份数据库+全站文件+原服务器php.ini,记录原服务器PHP版本5.6.40。
- 新服务器配置:CentOS 7+Nginx 1.20+PHP-FPM 7.4。安装完先跑php --ini记录路径。
- 第一次访问失败:CGP错误出现。phpinfo.php显示Loaded Configuration File为/etc/php.ini,request_order值为GP。
- 应用方法一:编辑/etc/php.ini改为request_order = "CGP",systemctl restart php-fpm。
- 第二次访问:CGP消失但出现新错误"Deprecated: Required parameter $sFirst follows optional parameter"——PHP 8.x新警告。降到PHP 7.4后正常。
- 验证:完成1.4节4步验证,全部通过。
- 整体搬家耗时:3.5小时(其中CGP+PHP版本兼容性问题占1.5小时)。
这个案例的核心教训是织梦搬家千万不要一次性升到PHP 8.x——织梦5.7的代码包含大量PHP 8.x不兼容的写法(弃用的mysql_*函数、过时的Optional parameter顺序等)。保哥的推荐版本是PHP 7.4,稳定性和兼容性最好。
## 常见踩坑场景的6条避坑建议
- 搬家前先在新环境跑一遍空织梦测试。不带数据先装一个全新的DedeCMS看是否CGP错误,能提前发现问题。
- 多PHP版本环境用version-specific php.ini。CentOS下用/etc/php-7.4.ini这种命名方式,避免混淆。
- 修改common.inc.php时同步修改index.php检测。某些DedeCMS版本在index.php里也有CGP检测,只改common.inc.php不够。grep一遍request_order找到所有检测点。
- 启用OPcache前确保所有CGP相关修改已生效。OPcache的"file change check"功能要打开(opcache.validate_timestamps=1),否则修改后OPcache不会刷新。
- 使用Docker容器化织梦时把php.ini写进Dockerfile。比如RUN echo "request_order=CGP" >> /usr/local/etc/php/php.ini,否则容器重建后配置丢失。
- 定期审计织梦的核心文件是否被恶意修改。织梦因为长期不更新+老代码安全漏洞多,是黑产渗透的高频目标。建议每月对核心文件做MD5校验。
## 2026年织梦DedeCMS的现状和迁移建议
保哥不得不说一句:织梦DedeCMS的官方在2021年就基本停止维护了,最后一个稳定版本是V5.7 SP2。在2026年还在用织梦的站点面临三个问题:
- PHP 8.x不兼容。织梦的mysql_*函数在PHP 7就已弃用、PHP 8.x完全移除。新服务器越来越难找到PHP 7.4环境。
- 安全漏洞历史问题严重。织梦过去5年累积的SQL注入 (https://zhangwenbao.com/dedecms-membership-center-pm-php-injection-vulnerability-repair-method.html)、文件上传、XSS漏洞CVE超过50个,没有官方补丁的情况下风险持续累积。
- 商用版权风险。织梦的商用授权问题在2021年集中爆发,企业用户被追讨授权费的案例上百起。新站绝对不应该用织梦。
保哥的迁移推荐:
- 个人博客/小型企业站→迁移到WordPress(最成熟生态,免费)。
- 中型企业官网→迁移到帝国CMS或EmpireCMS(国产CMS活跃维护)。
- 有开发能力→重构到Headless (https://zhangwenbao.com/headless-cms-seo-infrastructure-rebuild-sitemap-meta-canonical-redirect.html) CMS(Strapi/Sanity)+ Next.js/Nuxt前端。
- 暂时无法迁移→至少升级到PHP 7.4+完整应用安全补丁包+加上WAF防护。
## 常见问题解答
## 修改php.ini后CGP报错仍然存在怎么办?
三个排查方向:第一确认你改的php.ini是Web实际加载的那个(phpinfo.php确认);第二确认服务已重启(systemctl status php-fpm看是否真的reload);第三确认OPcache已刷新(重启php-fpm会刷新,但如果用了mod_php需要重启Apache)。三个都做了还不行,可能是宝塔等面板有自己的"用户级php.ini"覆盖了系统配置,需要在面板上单独改。
## 共享主机改不了php.ini也不让用.htaccess怎么办?
三个选择:第一改common.inc.php绕过检测(详见方法二);第二换主机商——2026年仍然不开放任何PHP配置自定义的共享主机已经很少了;第三迁移到WordPress——比起跟织梦兼容性问题斗争,迁移成本可能更低。保哥的实际经验是大约30%的客户最终选择了直接迁移。
## 修改common.inc.php会不会被升级覆盖?
会。每次DedeCMS升级(虽然官方已不更新但社区还有补丁包发布)都会覆盖核心文件。保哥的应对方案是:建一个独立的fix_request_order.php脚本,每次升级后跑一次自动重新应用补丁。脚本逻辑很简单——读common.inc.php→检测是否有补丁标识注释→没有就插入补丁代码→保存。
## 这个错误跟PHP安全漏洞有关吗?
没有直接关系。request_order的"GP"默认值是PHP 5.3的安全增强,避免开发者把Cookie当作可信输入。织梦对"CGP"的依赖是织梦自身代码的设计选择,不是安全漏洞。但织梦的代码本身有大量真正的安全漏洞,建议同时检查并应用社区维护的安全补丁。
## 升级到PHP 8.x后织梦报新错误怎么办?
织梦5.7对PHP 8.x兼容性差。常见问题:mysql_*函数移除、参数顺序问题、Optional参数前置弃用警告。两个解决方案:第一降回PHP 7.4稳定运行;第二应用社区维护的PHP 8兼容补丁包(dedebiz论坛有发布)。保哥强烈建议降到PHP 7.4而不是打补丁,因为织梦5.7的整体架构跟PHP 8.x理念差距太大,打补丁是治标不治本。
## 方法二修改后Cookie功能不工作怎么办?
这是因为只注释了检测但没有手工合并$_COOKIE到$_REQUEST。按方法二思路A的代码——在注释检测的同一位置加上foreach ($_COOKIE as $_k => $_v) { if (!isset($_REQUEST[$_k])) $_REQUEST[$_k] = $_v; }。这样既绕过了检测又保证织梦后续代码能从$_REQUEST读到Cookie数据。
## 有没有一键修复脚本?
保哥过去几年写过几版自动化脚本但都不通用——服务器环境差异太大、PHP路径不同、面板各异。建议手工按方法一/二/三做,每一步都先在phpinfo.php里验证再继续,整个过程10-15分钟足够。如果你要在多台服务器上批量修复,可以用Ansible Playbook管理——保哥的GitHub有发过一个简化版的dede-fix.yml文件,社区可以参考。
## 修复后是不是就可以安心继续用织梦?
不是。CGP报错只是织梦运行的最低门槛之一,修复之后还要面对:第一织梦5.7已不维护,每年新增的安全漏洞约8-12个;第二与现代PHP版本(8.x)兼容性持续恶化;第三移动端体验、SEO友好度跟现代CMS差距越来越大;第四商用授权问题持续发酵。修复CGP错误能让你的网站继续运行,但保哥强烈建议把这次修复作为"启动迁移规划"的契机,而不是"继续用织梦下去"的理由。理想的时间表是修复CGP后6-12个月内完成迁移到WordPress或现代CMS。