织梦CMS 下data/mysql_error_trace.inc日志暴露后台地址漏洞修复

加载中

DedeCMS下data日志mysql_error_trace.inc纪录了许多MYSQL不正确纪录，假如你以前在后台管理浏览情况下发生过MYSQL不正确，便会曝露后台管理详细地址，由于这一文档文件夹名称固定不动，非常容易被别人给扫出来系统漏洞因而能够更名解决。

解决方案一：

最先用FTP或远程登陆的方法将data/mysql_error_trace.inc改名成 mysql_error_你喜爱的随意标识符.inc

随后开启 /include/dedesql.class.php和dedesqli.class.php

搜 mysql_error_trace.inc ，把 mysql_error_trace.inc 改名成 mysql_error_你喜爱的随意标识符.inc (一定要注意多处文件夹名称相匹配)

解决方案二：

根据网络服务器HTACCESS设定严禁DATA文件目录载入、实行

解决方案三：

一劳永逸把DATA文件目录搬离WEB文件目录

根据FTP将/data/文件夹名称挪到web网站根目录的上一级目录；

随后改动/include/common.inc.php中DEDEDATA自变量，将：define('DEDEDATA', DEDEROOT.'/data'); 改成define('DEDEDATA', DEDEROOT.'/../data')；

假如你主页是动态性浏览，那也要改动/index.php，删掉以下编码（注：假如主页转化成静态数据且index.html为默认设置浏览详细地址可忽视此条改动。）：

if(!file_exists(dirname(__FILE__).'/data/common.inc.php'))

{

header('Location:install/index.php');

exit();

}

改动tplcache缓存文件文件名称：登录后台管理 > 系统软件 > 系统软件主要参数 > 特性选择项，将模版缓存文件文件目录值改成 /../data/tplcache。

评论（0条）