DedeCMS目录禁PHP解析加固:nginx与Apache配置加文件权限
织梦 DedeCMS 站点为什么三天两头被挂马?保哥用 nginx 一段 location 配置把 uploads/templets/images/data 等目录的 PHP 解析全部拒绝,挡住 80% 的 webshell 攻击;附 Apache .htaccess 等效配置、文件权限、加固清单、被攻击后应急处置流程。
标签
DedeCMS安全
保哥笔记 DedeCMS安全 标签下共 9 篇文章合集,含《DedeCMS目录禁PHP解析加固:nginx与Ap》《织梦DedeCMS表单防垃圾提交:手机号、IP校验加》《DedeCMS留言板SQL注入1行addslashe》等,与 织梦漏洞、目录权限、织梦SQL注入 主题密切相关,覆盖 SEO/GEO 实战角度的深度解析与可落地方案。
-
-
织梦DedeCMS表单防垃圾提交:手机号、IP校验加双层防重复
织梦DedeCMS自定义表单加上手机号正则、IP抓取、提交时间、来源URL、Cookie防重复5项验证,并补强后端数据库强校验、CF Turnstile与蜜罐反垃圾。本文给出正确的执行顺序、踩过的Cookie过期时间溢出坑、Cloudflare真实IP取法,以及某B2B站30天有效率从7.96%升到71.23%的实测数据。
-
DedeCMS留言板SQL注入1行addslashes修复实战
织梦DedeCMS plus/guestbook/edit.inc.php留言板SQL注入的实战修复笔记:定位代码、加addslashes、curl黑盒验证、WAF与fail2ban叠加防护,覆盖V5.7全系列站点。
-
织梦uploadsafe.inc.php上传漏洞怎么加固?五项校验实战
DedeCMS的uploadsafe.inc.php在2010-2022年陆续披露5种绕过方式,仅靠扩展名白名单已挡不住双扩展名、EXIF注入、SVG含script、multipart畸形、编码绕过。保哥过去4年处理过6个被入侵的客户站,本文给出五层纵深防御与全站审计动作。
-
织梦article_add Cookie泄漏SQL注入:五道防线修复
DedeCMS会员中心article_add.php的dede_fieldshash校验是单纯md5,攻击者只要在Cookie里拿到合法的dede_fields样本就能任意构造哈希绕过。保哥过去4年帮9个被打的客户做过修复,本文给出五道纵深防线:HMAC风格的md5加salt、参数化查询、输入过滤、横向扫所有会员入口、Nginx WAF兜底,附某技术站5天入侵响应实录。
-
织梦Cookie泄漏SQL注入漏洞怎么修?保哥落地版加收尾清单
DedeCMS的inc_archives_functions.php第239行用md5加cfg_cookie_encode生成的dede_fieldshash因为算法可逆形同虚设,攻击者从前台公开页面就能反推出会员加密密钥并打通SQL注入。本文给出从断网取证到代码修复、再到收尾清单的完整实战方案,含5个真实踩坑记录与长期迁移决策建议。
-
上传目录还能跑PHP?五种环境禁掉执行权限的加固写法
PHP类CMS被挂马的核心入侵路径是任意文件上传加目录可执行的组合拳。本文给出.htaccess、Apache vhost、Nginx、IIS、宝塔面板五条主流加固方案,覆盖uploads与data与templets与cache等典型目录的php、phtml、phar全套扩展名拦截,含双扩展名兜底、五个真实踩坑记录与命令行验证流程。
-
DedeCMS会员相册SQL注入1行intval修复实战
织梦member/album_add.php会员相册脚本mtypesid参数SQL注入实战修复指南:定位代码行、加intval、回归验证、Nginx WAF叠加防护,覆盖DedeCMS 5.7全系。
-
DedeCMS后台验证码错误终极排查指南:从GD库到sessions_xxx升级残留全覆盖
DedeCMS 后台验证码不显示或永远输错,背后可能是 GD 缺失、data/sessions 目录权限错、cfg_domain_cookie 改动残留多个 sessions_xxx 目录、PHPSESSID cookie 跨域丢失。本文按图片不显示、提交错、版本兼容三类故障分别给出排查命令与修复代码,覆盖织梦 5.7 各 SP 版本与 PHP 7+ 环境。
