DedeCMS留言板SQL注入1行addslashes修复实战
织梦DedeCMS plus/guestbook/edit.inc.php留言板SQL注入的实战修复笔记:定位代码、加addslashes、curl黑盒验证、WAF与fail2ban叠加防护,覆盖V5.7全系列站点。
保哥笔记 — 文章列表 第 40 页
-
-
Acrobat提示“不允许连接至”打不开报税PDF?5步修复
广东电子税务局报税卡在Acrobat不允许连接至错误的根因是Adobe Acrobat Reader DC默认开启的增强安全性沙箱拦截。本文给出单机首选项关闭、注册表批量配置、GPO域控推送、Customization Wizard定制部署四种修复方案,附特权位置白名单与七项常见提交失败排查清单。
-
织梦media_add.php任意上传漏洞怎么加固?纵深防御实战
保哥实战处置织梦media_add.php任意上传漏洞,从入侵痕迹判定、黑名单方案不足、白名单加固代码、nginx禁止uploads执行PHP的纵深防御,到全站排查清单与9个同类入口同步加固方法。
-
流量不大却最赚钱:底部漏斗内容有哪几种页型、先建哪个
博客很勤流量也涨,业务却不动,缝就在从资讯到决定那段断了。本文按对比、替代品、选型、用例、定价五种页型,逐一拆怎么建得可信、怎么排、怎么评审,以及怎么和关键词结构与销售衔接。
-
DuckDuckGo要不要单独做SEO?隐私搜索引擎拆解
做出海独立站,到底要不要专门为DuckDuckGo、Brave这些隐私搜索引擎做一套优化?这篇给一个能直接用的判断:先看清每家引擎的结果到底从哪来,再结合你的受众和目标市场,决定它是该忽略的零头、还是值得多花一份心思的精准人群。
27 分钟阅读 平台SEO 隐私搜索引擎 DuckDuckGo
-
织梦uploadsafe.inc.php上传漏洞怎么加固?五项校验实战
DedeCMS的uploadsafe.inc.php在2010-2022年陆续披露5种绕过方式,仅靠扩展名白名单已挡不住双扩展名、EXIF注入、SVG含script、multipart畸形、编码绕过。保哥过去4年处理过6个被入侵的客户站,本文给出五层纵深防御与全站审计动作。
-
织梦article_add Cookie泄漏SQL注入:五道防线修复
DedeCMS会员中心article_add.php的dede_fieldshash校验是单纯md5,攻击者只要在Cookie里拿到合法的dede_fields样本就能任意构造哈希绕过。保哥过去4年帮9个被打的客户做过修复,本文给出五道纵深防线:HMAC风格的md5加salt、参数化查询、输入过滤、横向扫所有会员入口、Nginx WAF兜底,附某技术站5天入侵响应实录。
-
Excel批量删除指定字符所在行:VBA加固版+Power Query+pandas三套方案与性能基准
Excel 批量按内容删行最常用的 VBA 宏代码在大数据集(10K+ 行)上性能差到不可用、Union 累加超 65535 限制、删完 Undo 失效。本文给出加固版 VBA(AutoFilter + SpecialCells 比 Find 循环快 50 倍)、Power Query 可视化筛选、Python pandas 大数据处理三套方案的完整代码、性能基准、合并单元格 / 保护工作表 / 跨多 Sheet 等真实场景与 FAQ。
25 分钟阅读 EXCEL Power Query Excel VBA
-
Excel批量删空行空列:VBA宏代码加4种方案对比
保哥常年使用的Excel批量清理空行空列方案:VBA反向循环加CountA判断、Union批量删超大表、Power Query标准化、pandas百万行级处理,4种方法配合8步数据清理工作流。
-
Discuz退出登录后SEO关键字标题页3步修复实战
Discuz门户首页游客访问时关键词描述退化为首页二字的实战修复笔记:定位helper_seo.php第38行bug、最小化补丁代码、上线前验证清单与SEO效果复盘。
21 分钟阅读 Discuz门户 Discuz首页 Discuz SEO
-
WPS与Excel转置快捷键设置:6种方案对比
WPS与Excel默认没有原生转置快捷键,本文给出6种实现方案:录制宏、手写VBA代码、xla加载项、Quick Access Toolbar快捷数字、Power Query批量转置、TRANSPOSE动态公式,附五个常见踩坑记录与跨平台协同建议。
-
DedeCMS pm.php注入怎么修?CVE-2018-9134加参数化查询
DedeCMS 会员中心 pm.php 的 CVE-2018-9134 注入至今仍是脱库主入口。本文从源码层讲清漏洞成因(intval 缺失),给出最小补丁、PDO 参数化查询、ModSecurity WAF 兜底三层修复,并扩展到全站注入点审计、bcrypt 密码升级、被脱库后的应急响应流程。
-
DedeCMS会员中心mtypes.php SQL注入漏洞修复深析:数组键名注入根因、intval补丁与系统化排查
DedeCMS /member/mtypes.php 在 2014-2018 年披露的 SQL 注入漏洞(CVE-2018-9134)通过表单数组键名注入恶意 SQL,能改任意管理员密码或写 webshell。本文从数组键名直拼 SQL 的根因讲透补丁中 intval(id) 为什么是关键、HtmlReplace 为何防不住 SQL、同文件 DELETE 段是否需要补、用 grep 系统化扫整套 DedeCMS 的同类漏洞、PDO 预处…
-
WordPress 4.9.6任意文件删除漏洞怎么临时修复?
保哥实战记录WordPress 4.9.6 post.php任意文件删除漏洞的临时修复方案,给出functions.php与mu-plugin两套补丁代码、补丁验证三步流程,以及5个长期加固动作,帮助运维在官方4.9.7补丁发布前安全过渡。
24 分钟阅读 functions.php Wordpress漏洞 WordPress安全
-
织梦Cookie泄漏SQL注入漏洞怎么修?保哥落地版加收尾清单
DedeCMS的inc_archives_functions.php第239行用md5加cfg_cookie_encode生成的dede_fieldshash因为算法可逆形同虚设,攻击者从前台公开页面就能反推出会员加密密钥并打通SQL注入。本文给出从断网取证到代码修复、再到收尾清单的完整实战方案,含5个真实踩坑记录与长期迁移决策建议。
-
WordPress怎么实时推送搜索引擎?百度、Bing IndexNow与异步队列
WordPress 发文后想让百度 / Bing / Google 第一时间收录?网传 publish_post 挂 curl 推百度的代码在 2026 年有 token 泄漏 / curl 卡死 / 漏更新 / 不识失败原因等多个坑。本文从百度主动推送 API 演化讲起,给出含超时 + 错误处理 + 配额监控的现代代码、Bing IndexNow 零配置接入、Google Indexing API 只限 JobPosting 的真相、…
-
百度主动推送实战:3种方式API+JS+Sitemap
主动推送、自动推送JS、sitemap三种百度收录通道:主动推送API最快单条几分钟入抓取队列,自动推送依赖用户访问触发,sitemap稳定但慢3天到2周。保哥三档配合实战与5种语言脚本。
-
WordPress媒体库图片自动重命名实战:5种方案
WordPress上传的图片文件名乱七八糟会影响SEO、安全、CDN性能和维护成本。本文给出wp_handle_upload_prefilter钩子按时间戳重命名的基础代码、带文章ID与产品属性的进阶版、WebP转换组合钩子、4款主流重命名插件横向对比与图片SEO最佳实践。
23 分钟阅读 functions.php 图片SEO WordPress图片
-
Quora SEO怎么做?答案排名机制+海外品牌种草实战
Quora是海外DTC独立站和外贸B2B最常被低估的SEO战场——站内问答+Google外部排名+AI Overview引用三条线同时跑。本篇拆Quora站内answer排名机制、Topic Knowledge等级提升、答案上Featured Snippet五场景、注册到出第一篇高赞答案完整SOP、行业偏好对照、五种封号反模式与一成一败两个真实复盘,给出从注册到6个月让品牌词SERP出现Quora答案的可复用流程。
-
DedeCMS随机文章arclist实战:参数+3种性能优化
织梦DedeCMS用arclist标签做随机推荐的完整指南:所有可用参数速查表、限定栏目与排除当前文章写法、ORDER BY RAND性能瓶颈分析,以及weight列伪随机、ID区间随机、Redis SRANDMEMBER三种实测的优化方案,附静态化破解方案。
31 分钟阅读 织梦文章调用 DedeCMS arclist 随机推荐