织梦dedecms通过修改栏目名提升安全性的方法

本文介绍了织梦dedecms通过修改栏目名提升安全性的方法，织梦系统虽然好用，不过安全方面也是饱受诟病，如何提升安全性是每个站长孜孜不求的任务，其中通过修改栏目名达到提升安全性的方法是最简单也是最容易操作的，一起看看本文的操作吧。

下面来说说织梦通过修改栏目名提升安全性的方法。

首先做好整站备份，后台数据库备份，然后打包整站备份好，就算修改include更名失败只要删除就好

网站备份操作如下：

1、比如网站放在11181文件夹里面，先登录后台数据库备份，备份完成后，复制11181文件夹，然后在粘贴，这样会有一个11181 - 副本文件夹

2、如果改名include失败，后台不能登录，或者出现意外直接删除11181文件夹，改名11181 - 副本为11181

3、按照下面步骤重复改名include几次，你会成功的。备份做好，以防万一。

改名查找技巧：文件include的修改大家注意这点。我们是不能把所有文件里的include都替换成ainclu的，我的是把“include/”替换成“ainclu/”，然后再把“/include”替换成“/ainclu”，进行两次整站的替换，目前还没发现有什么错误，因为include是php的语言，有很多地方的“include”我们是不能换的。

第一、include文件夹的重命名修改

把include替换成你想要的名字，比如ainclu

温馨提醒改名include文件名。一定要和include相应的字母数字一样，比如include有7个字母，那么你改名的ainclu也是七个字母

我不知道这个说法成立还是不成立，但是，有人改名include多出几个字母导致功能不能使用，具体的请自己掂量

1、打开根目录的index.php

找到

require_once (dirname(__FILE__) . "/include/common.inc.php");

改成

require_once (dirname(__FILE__) . "/ainclu/common.inc.php");

2、有用tag标签的打开tags.php

找到

require_once (dirname(__FILE__) . "/include/common.inc.php");

改成

require_once (dirname(__FILE__) . "/ainclu/common.inc.php");

二、将include文件夹改为ainclu

1、打开include/common.inc.php 大概185行 找到

$cfg_basedir = preg_replace('#'.$cfg_cmspath.'/include$#i', '', DEDEINC);

改为

$cfg_basedir = preg_replace('#'.$cfg_cmspath.'/ainclu$#i', '', DEDEINC);

2、如果使用ckeditor编辑器的

打开include/ckeditor/config.js 里面有有../include/

// 文件浏览

config.filebrowserImageBrowseUrl = "../include/dialog/select_images.php";

config.filebrowserFlashBrowseUrl = "../include/dialog/select_media.php";

config.filebrowserImageUploadUrl  = "../include/dialog/select_images_post.php";

这三个地方需要改名

3、找到include/inc/inc_fun_funAdmin.php 查找include 找到

$CKEditor->basePath = $GLOBALS['cfg_cmspath'].'/include/ckeditor/' ;

改为

$CKEditor->basePath = $GLOBALS['cfg_cmspath'].'/ainclu/ckeditor/' ;

继续找到

$fck->BasePath        = $GLOBALS['cfg_cmspath'].'/include/FCKeditor/' ;

改为

$fck->BasePath        = $GLOBALS['cfg_cmspath'].'/ainclu/FCKeditor/' ;

这个是编辑器的，如果有添加百度编辑器的也要改下/ainclu/UEditor/'

三、将plus文件夹里面的php改为ainclu

把所有php文件都拖到notepad++ 查找

/../include/common.inc.php

改为或者替换为

/../ainclu/common.inc.php

plus目录下的php文件带有require_once(dirname(__FILE__)."/../include/common.inc.php");的还蛮多的

四、打开 templets/plus下所有的htm

查找include

<script language="javascript" src="../include/dedeajax2.js"></script>

<script language="javascript" type="text/javascript" src="../include/js/dedeajax2.js"></script>

<img src='../include/vdimgck.php' />

想办法把dedeajax2.js搬家和验证码../include/vdimgck.php搬移出include目录

五、打开templets/default下所有的htm

这个是模板目录，和上一步一样，迁移dedeajax2.js和验证码../include/vdimgck.php

注意不要使用{dede:global.cfg_templets_skin/}暴露模板目录的标签

六、会员目录member

1、打开ajax_feedback.php里面有个验证码的位置需要修改

rc='{$cfg_cmsurl}/include/vdimgck.php'

修改为

rc='/ainclu/vdimgck.php'

2、打开config.php找到

require_once(dirname(__FILE__).'/../include/common.inc.php');

改为

require_once(dirname(__FILE__).'/../ainclu/common.inc.php');

3、打开member/templets里面的htm

里面有验证码的

../include/vdimgck.php

改成

../ainclu/vdimgck.php

七、dede后台目录

将后台根路径（如果未改后台路径则是：网站根路径/dede）下的config.php 找到

require_once(DEDEADMIN.'/../include/common.inc.php');

改为

require_once(DEDEADMIN.'/../ainclu/common.inc.php');

1、打开dede目录下的所有的php

把“include/”替换成“ainclu/”，然后再把“/include”替换成“/ainclu”

2、打开dede/inc/inc_list_functions.php 找到

require_once(dirname(__FILE__)."/../../include/common.inc.php");

改成

require_once(dirname(__FILE__)."/../../ainclu/common.inc.php");

3、打开dede/js/main.js

把“include/”替换成“ainclu/”，然后再把“/include”替换成“/ainclu”

4、打开dede/templets目录下的所有htm

把“include/”替换成“ainclu/”，然后再把“/include”替换成“/ainclu”

这个是后台文件 一般都是js目录路径和验证码路径，如果验证码有更改的按更改的改

这样就修改完成了include改名为ainclu

如果出现以下情况请看，不包括没有

但是修改完以后，你会发现后台是白的，什么内容也没有，通过一下午的寻找终于找到原因，如下：

特殊情况：

将改名后文件夹中ainclu/common.inc.php里面的define('DEDEROOT', str_replace("", '/', substr(DEDEINC,0,-8) ) );

这句话中给DEDEROOT定义，却没有显示，或者不对。后来才发现是截取出了问题。

将其改为define('DEDEROOT', str_replace("", '/', substr(DEDEINC,0,-6) ) );即可。

完成上面的步骤后后台已经完成用正常使用。

其他网上找到其他提高网站安全性的方法：

DEDE管理目录下的 file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php 这些文件是后台文件管理器(这俩个功能最多余，也最影响安全，许多HACK都是通过它来挂马的。它简直就是小型挂马器，上传编辑木马忒方便了。一般用不上统统删除) 。

不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。避免HACK利用。

不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除

最后，我们就完成了include的重命名修改。这样多数小黑软件就扫描不到我们网站的漏洞了，网站的安全性得到了进一步的提高。