偶然间发现我的一个织梦dedecms网站会员发布图片时需要"输入后台管理目录",这不是为难普通会员吗!

这也无形中给恶意用户爆破后台的机会

在百度搜了一个,这个问题不常见

汇总了一下出现类似的情况有三种:

1.dedecms在会员中心上传图片的时候，会有“提示：需输入后台管理目录才能登录”

2.dedeCMS上传附件提示＂需输入后台管理目录才能登录＂的解决办法

3.后台上传图片时，出现：“提示：提示：需输入后台管理目录才能登录 ”，接着一个input框，让“请输入后台管理目录名”

网上普遍给出的一个方法是:

(这个方法是去除了会员身份验证,会导致无需登录就可进入图片管理器，可以任意上传图片)

注释掉“/include/dialog/congig.php”中的以下代码：

if($cuserLogin->getUserID()<=0)
{
if(empty($adminDirHand))
{
ShowMsg("<b>提示：需输入后台管理目录才能登录</b><br/><form>请输入后台管理目录名：<inputtype='hidden'name='gotopage'value='".urlencode($dedeNowurl)."'/><inputtype='text'name='adminDirHand'value='mgr'style='width:120px;'/><inputstyle='width:80px;'type='submit'name='sbt'value='转入登录'/></form>","javascript:;");
exit();
}
$gurl="../../{$adminDirHand}/login.php?gotopage=".urlencode($dedeNowurl);
echo"<scriptlanguage='javascript'>location='$gurl';</script>";
exit();
}
}

但我们知道这种方法是肯定不可取的,鄙视那些不懂的乱发技术教程

乱发就算了,也不注明下原理和后果,这么大缺陷的方法干脆就不要发了,害人啊

最后给出正确方法:

将上面那段代码修改成

if($cuserLogin->getUserID()<=0)
{
if(empty($adminDirHand))
{
ShowMsg("<b>登陆失效，转向主页</b><br/>",$cfg_basehost);
exit();
}
$gurl="../../{$adminDirHand}/login.php?gotopage=".urlencode($dedeNowurl);
echo"<scriptlanguage='javascript'>location='$gurl';</script>";
exit();
}
}

希望对同样突发此类问题的童鞋们有帮助哈！

有问题底下留言,OK

感叹下今天天气真热!