我们在设计DEDECMS织梦主题的时候肯定会在页面中调用上一篇和下一篇文章,这样可以提高内页内容的融合,提高网站之间的串联传递权重。那一般调用上一篇和下一篇的代码是什么呢?因为老蒋已经很久没有做DEDECMS主题,代码也忘记,所以记录下来以后需要直接获取。
DEDECMS织梦CMS程序如今官方也不在更新,但是还是有很多人使用。这款内容管理系统的CMS程序曾经确实是非常的火热,基本上企业网站、内容类的网站都会使用这款程序,在于这款程序的结构非常的简单。但是也有一些缺点,比如经常有漏洞,但是如果取消交互功能还是比较安全的。
有时我们建网站会建很多分类,每个分类又有小分类,为了让顶级栏目获得更好的权重和排名,我们会聚合子栏目。那么dedecms调用当前栏目的子栏目怎么操作呢? 有两种方法:标签dede:sonchannel和标签channel type='son' 1、dede:sonchannel {dede:sonchannel} [field:typename/] {/dede:sonchannel} 2、channel type='son' {
之前因为ytkah批量添加了dedecms文章,数量有些多,后面出现问题了,想要删除一部分织梦文章,后台一篇篇删,删到手软(相关内容:修改dedecms关键词到手软),于是就想到了sql数据库操作
这几天老蒋在忙着几个客户企业网站的主题修改,在调试DedeCMS的过程中有发现内容页面中上下篇调用的是前后文章的标题。但是由于位置的局限调用的前后文章的标题如果字数太多的话,会导致错位。有时候在电脑端没有什么问题,但是如果小屏幕或者是手机端会有不好。
最近也打算研究研究各大cms的漏洞了,正好看到一篇关于dedecms后台getshell的文章,所以也自己动手复现一下,这样以后遇到了也更容易上手。该漏洞涉及的版本是dedecms的最新版吧,下载地址: http://www.dedecms.com/products/dedecms/downloads/
在使用dedecms模板的过程中经常会用到一些默认dedecms没有的字段,或者要自己添加自定义内容模型,后台是添加好了,文章也录入了,可(字段无法显示)前台调用不出来怎么办呢?要想实现如下效果:
这几天老蒋重拾DEDECMS织梦程序,在需要调用标签的时候有发现默认有的主题中采用的是limit='0,1'和limit='1,4'的这种标签。这个也就是加载列表调用中的单独属性。于是我查查到底是什么意思,好像使用的还是比较多的。
平时用dedecms开发经常会用到一些标签,特别是首页、栏目页、内容页,这些页面都会用到标签的调用,比如title、keywords、description、arclist、field.body等,为了方便查找,ytkah特地整理了dedecms标签,大家可以用ctrl+F实现搜索。调用标签时一定要保证标签的完整性,曾经因为{dede:field.description /}少了一个“/”查了大半天,泪的教训。 dedecms首页标签 网站名称:{dede:global.cfg_webname/} 网站
dedecms :说这个是国内人气最旺的cms,我想没有人反对吧? 中国站长站(chinaz.com),站长资讯(admin5.com),称这两个站点是大站,没人反对吧?如果你做的是个人站点,如果数据
本篇为《DEDECMS伪随机漏洞 (一) :PHP下随机函数的研究》的续篇,研究DEDECMS的cookie生成的算法, 以及rootkey生成的算法, 确认rootkey使用的随机算法的强度, 计算攻击耗时。
dedecms2013年6月7日补丁或者新版本dedecms程序,去掉power by dedecms的方法
老蒋已经有好几年没有接触过DEDECMS织梦程序。前几天有看到织梦有在开发更新5.8版本,而且有计划在10月份的时候上线。实际上对于功能和易用性看,内容管理系统是比较有优势的,便捷度甚至比安全性较好的帝国CMS好很多,只不过安全性织梦差一些。如果能解决安全问题,那势必还会恢复早年的活力。
现在很多人都想制作一个个人博客,前端html静态页面,免费的很多,但是拿到一个静态页面,自己并不知道怎么用。你可以选择下载免费的博客程序源码,或者cms。这些开源的博客程序源码,都是经过很多次版本测试的,都有固定的使用人群。我所知道的主流的博客程序有,Z-blog,Emlog,WordPress,Typecho等,免费的cms系统有,织梦cms(dedecms),phpcms,帝国cms(EmpireCMS)等。这些都是开源免费的程序,用它们来做一个个人博客网站,是可以的。 很多新手站长不知道该如何选择合适的博客程序源码来搭建自己的个人独立博客,主要原因还是不太了解这些博客程序的特点。这些博客程序都有它的使用教程,如果你有足够的时间,可以选择去学习。 我相信很多站长,都使用过以上的博客程序源码。我先来简单说说,我在使用这些博客程序源码的一个体验感受: 1、Z-Blog。Z-blog博客程序的特点在于它有asp,php两个版本,有可选择性,页面静态化做得比较好,有利于SEO优化。但Z-blog目前提供的不少主题模板和插件是收费的,而且主题不是很多。 2、Emlog。Emlog(点滴记忆),程序大小只有500KB左右。它的特点就是源程序文件非常小。Emlog的基本功能比较简单,对于做一个简单的博客来说足够。不够完美的地方在于,Emlog不能html静态化,支持的是伪静态。 3、WordPress。相比较前两个来说,WordPress的人气应该是最高的,WordPress的博客主题很多,免费的,付费的,更新也快。WordPress程序依托的是插件和主题,作为国际性开源程序,它的功能非常强大。美中不足的地方在于,它的插件多,网站速度加载会比较慢。 4、织梦cms(dedecms)。最新版本V5.7SP2正式版,更新时间:2018年01月09日。dedecms采用PHP+MySQL的技术架构,个人站长用得也比较多,因为它上手快,标签好调用,对于想做资讯网站的站长来说,简单看看教程,也能在短时间学会。dedecms是完全开源的,不足的地方在于,漏洞很多,网站时不时被攻击挂马。 5、PHPCMS。最新版 V9.6.3 ,更新时间:2017年05月15日。使用的MVC模式编程,模块化的设计,非常适合网站的二次开发,从后台的美观度来说,PHPCMS V9的后台界面最为美观,操作也简单。我记得dede和帝国cms还在用table的时候,phpcms开发模板用的是div+css,界面好看布局又合理。就扩展性来说,不是很好,v9之后,就不再更新了。 6、帝国cms。从安全性来说,帝国CMS,PHPCMS的安全性高,没有什么漏洞,帝国cms页面静态化,利于优化,而且扩展性很好,适合做二次开发。但从美观度来说,帝国cms不重视这些,甚至很多都是table布局。之前我写过一篇文章,《个人博客,我为什么要用帝国cms?》,也是在使用了以上这些博客程序源码后写的一个总结,兜兜转转,最后还是使用了帝国cms,作为我的博客程序。 以上这些,仅属于个人观点,每个程序都有它的优缺点,选择什么样的程序源码,看个人的需求和爱好。比如,有程序基础的,喜欢易于开发和灵活性强的,可以选择帝国cms。喜欢漂亮的,后台易于操作的,想经常换主题的,可以选择wordpress,总的来说,根据个人的情况来选择,选适合自己的,慢慢熟悉系统。
前面写了一篇修改dedecms默认文章来源 "未知"改为关键词,那个是修改以后发布的文章“来源”才会变成自己设定的关键词,如果修改之前已经有很多文章了,那些文章“来源”还是显示“未知”,如何批量更换dedecms文章来源和作者呢?可以用以下sql语句来实现:
根据第二篇,我们有信心去遍历root key的所有可能, 但是我们还需要一个碰撞点, 才能真正得到root key的值, 本篇找到了两个碰撞点, 并编写了简单的POC来获取root key。
之前写了一篇dedecms后台批量替换文章中的关键词,这边我们介绍一下用sql数据库批量替换dedecms内容关键字,当然要求你对数据库比较熟悉,修改前请自行做好备份。
先找到include/common.inc.php文件,把下面代码贴进去(我贴的是我网站上的,具体可根据需要修改):
关于织梦DedeCMS程序整站迁移搬迁服务器/主机的问题是我在上一篇文章中给网友解决问题的时候想到的话题,我并没有帮他迁移数据。只是顺带想到就一并简单的记录学会织梦DedeCMS整站迁移主机/服务器,这里他没有更换域名,所以相对来说简单一些。
最近有网站用了织梦,因为dedecms后台实在复古且复杂,所以一直没有好好长久接触。但瘦死的骆驼比马大,不得不承认织梦的模板还是非常多的。
根据红日安全写的文章,学习PHP代码审计的第四节内容,题目均来自PHP SECURITY CALENDAR 2017,讲完题目会用一个实例来加深巩固。
织梦dedecms设置了图片集内容模型的网站栏目文档可以上传图集图片,并提供了单页多图样式、幻灯片样式、多缩略图样式三种表现方式的调用,但是如果仅仅要调用所有的图集图片要怎么调用?dedecms提供了productimagelist标签,通过该标签可以在内容页获取图片集的所有图片。 基本语法: 1 2 3 4 5 {dede:productimagelist} href="[field:imgsrc/]" title="[field:text/]"> src="[field:imgsrc/]" alt="
织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历了二年多的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用本系统。织梦内容管理系统(DedeCms)基于PHP+MySQL的技术架构,完全开源加上强大稳定的技术架构,使你无论是目前打算做个小型网站,还是想让网站在不断壮大后系仍能得到随意扩充都有充分的保证。
大家好,又见面了,我是你们的朋友全栈君。power by dedecms什么意思,power by dedecms怎么去掉
织梦(DedeCms)也是一个国产内容管理系统,曾经爆出过众多漏洞,甚至还有人开发了dedecms漏洞一键扫描器
4 由于机器有限,尽可能地把三个站点放到同一台服务器上,然后做负载均衡集群,要求所有站点域名解析到一个ip上,也就是说只有一个出口ip
这几天老蒋在设计一款DEDECMS织梦CMS的主题,已经是将近十年没有接触这款CMS程序。在内容页设置过程中,根据需求标题中是不要显示标题的,而是使用简短标题。我们在发布DEDECMS文章的时候在标题后面是可以看到有简略标题选项。
织梦CMS近期的新版本至2013-6-7更新包以来,不管新版还是旧版更新补丁包,更新后网站页底都会出现power by dedecms。power by dedecms什么意思呢,那power by dedecms怎么去掉呢,请大家看以下方法:
在采集到URL之后,要做的就是对目标进行信息资产收集了,收集的越好,你挖到洞也就越多了............当然这一切的前提,就是要有耐心了!!!由于要写工具较多,SO,我会分两部分写......
现在手机站(如m.*.com)是网站建设标配,在用dedecms建站也可以实现(不会的话欢迎来骚扰ytkah),手机站一个比较麻烦的事是图片一直显示不出来,为什么呢?程序一般是调用图片的相对地址,
我们平常使用织梦后台做建站的时候都会发现,如果调用版权信息的时候,在底部使用cfg_powerby调用的时候出现power by dedecms的链接信息,而这个链接又是个导出链接,我们怎么样才能一劳永逸的直接去掉呐,下面站优云小编就跟大家分享一下。
关于dedecms模板文件,可以参考织梦系统文件夹功能简介或者是之前发布的dedecms的安装介绍.
0x00 前言 昨天晚上做了一个神奇的梦,梦到了我高中时候晚自习在偷偷的看《黑客攻防技术宝典》,当年的事情无论是苦是乐,回忆起来总是感觉非常的美好。但是,现实就是现实,梦境还是要被舍友的闹铃声打破,在大梦初醒后,我仿佛有一种“垂死梦中惊坐起”的感觉,是谁为我织出了这么美好的一个梦境?难道织梦CMS(DedeCMS)又要出0day了?于是,我立马从床上跳了下来,打开电脑,从官网下载了最新版的织梦CMS(DedeCMS V5.7 SP2正式版),心想着一定要代码审计一波带走。于是乎,就有了你现在正在阅读的这篇文
我们知道dedecms有一个面包屑导航的调用函数,{dede:field name='position'/},这个样式是固定的,有时要个性化一些的话需要修改很多地方,那么织梦cms有没其他方法获取当前文章所在栏目URL呢?有的! {dede:field.typename/} 这样的话就可以自定义首页链接的锚文本了,
就如Windows中软件安装包一样,Linux中软件也有指导安装的文件,解压完成后找到readme.txt文件,查看其内容,其实安装方法就在这里。
这几天我们站长圈内讨论最多的就是织梦DEDECMS官方通告要求商业个人和企业用途的需要在10月25日之前取得授权资格才能继续使用,否则可能会被侵权诉讼,如同我们有很多站长被提请图片和字体版权申诉一样,有些站长可能也有收到米拓CMS的诉讼一样的。大部分站长肯定是不乐意支付授权费用的,毕竟5800一个授权的费用不清楚后续是按年还是永久,有些网友戏称万一以后改成按月收费咋办?
如今互联网的下半场已经开始,在各种大资本的充斥下,自媒体占据了主流位置,但是无论哪个时代,cms内容管理系统的作用都不可替代,毕竟网站建设这个行业80%的网站都是采用这些老牌的cms网站系统制作,他们对网站建设这个行业的的地位和影响力仍然举足轻重,相信下面这几家老牌CMS系统都伴随了许多老站长的成长,云数据的小编给大家介绍一下。
作者:LoRexxar'@知道创宇404实验室 0x01 背景 织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2018年1月10日, 锦行信息安全公众号公开了一个关于DeDeCMS前台任意用户密码修改
注:channel=1表示普通文章,如要统计所有更新的内容,需要去掉and channel=1,channel=2表示图片集,channel=3表示软件,channel=6表示商品,channel=-1表示专题,channel=-8表示分类信息。
最近公司有客户非企业网站用途,需要类似内容管理系统,考虑到帝国CMS和织梦DEDECMS两者都可以解决,但是老蒋对于后者以前在医院工作的时候是有较多的使用,还是决定使用DEDECMS程序。因为个人博客之前有重新搭建,对于之前DEDECMS仿站使用的模板标签需要重新找回,在这里对于DEDECMS织梦程序准备重新整理常用的仿站模板标签。
最近dedeCMS爆了好多洞(0day),于是将最近的漏洞进行复现和整理便成为了本篇漏洞集合。期待师傅们的指导与交流。 cookie伪造导致任意前台用户登录 0x00 相关环境 源码信息:DedeCMS-V5.7-UTF8-SP2-20180109 问题文件: \DedeCMS-V5.7-UTF8-SP2\uploads\member\index.php 漏洞类型:cookie伪造导致前台任意用户登录 站点地址:http://www.dedecms.com/ 0x01 漏洞分析 在文件\Dede
做贼心虚——当看到网站页面中出现power by dedecms,哥的心里总感觉虚得慌。为何在使用dedecms时,自己并不想让别人知道该网站是用dedecms做的呢?是为了网站安全考虑不透露信息,还是不想让人知道你用的仅是开源系统,low逼了一地!
既然已经完成织梦DEDECMS仿站中首页和列表页的标签调用整理之后,我们还需要整理内容页面的整理即可。内容页面稍微简单一些,只要标题头部调用,以及当篇文章的内容和相关信息。因为是公司类别的内容,所以不会涉及到留言的模块,这里我也不使用留言功能。
织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目页生成html静态化,大大的加快的网站访问速度,以及搜索引擎的友好度,利于百度蜘蛛的抓取,深受广大站长以及网站运营者的喜欢。最近我们发现dedecms漏洞,存在高危的parse_str函数sql注入漏洞。
2018年的中秋节即将来临,我们Sine安全公司,最近接到很多用dedecms程序的企业公司网站客户的反馈,说是公司网站经常被篡改,包括网站首页的标题内容以及描述内容,都被改成了什么北京sai车,北京P-K等等的内容,而且大多数的网站客户都是从百度搜索关键词,点击进公司网站会被直接跳转到赌bo网站上去。
如今不论用什么CMS程序都比较喜欢使用自媒体UI模式的图文列表。比如我们在使用WordPress程序搭建个人博客的时候,我们看到很多的付费或者免费主题都很多相似老蒋部落一样图文列表模式。当然这样的界面确实是比较好看的。老蒋在调试一款客户企业网站的时候,在企业新闻、技术文档列表的时候也需要用到这个版面。
在文章的末尾或侧边栏添加相关文章可以提高用户的黏度,提高pv,增加se的好印象(哈哈),那么dedecms如何调用相关文章呢?有三种方法可以实现。
PageAdmin是一套很不错的网站内容管理系统,也是国内最知名的net网站管理系统之一,功能强大、安全稳定,是许多大型门户网站建设解决方案之一,其基于.Net Mvc的技术开发,具有很高的灵活性及易用性。
一位美女问:dedecms首页调用的简介一直修改不了,ytkah让她到具体的文章修改,然后再重新生成一下首页。她说还是不行。那就奇了怪了,点击到具体的文章页面是显示已经修改好了,为什么首页还是原来的呢?到后台重新生成了一下js文件貌似也不行。
我们继续来说一下dedecms最新的几个漏洞,今天是一个前台任意用户登录的漏洞,该漏洞结合上一次提到的前台任意密码修改漏洞可以直接修改管理员的密码,剩下的就是找后台了,废话不多说,我们开始吧
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
