织梦的站点搬家

其实能看懂代码的话这个漏洞非常简单，虽然标题是文件包含，实际上是因为变量覆盖引起的

漏洞文件在install/indexphpbak

17 $install_demo_name = 'dedev57demotxt';

18 $insLockfile = dirname(__FILE__)'/install_locktxt';

29 foreach(Array('_GET','_POST','_COOKIE') as $_request)

30 {

31 foreach($$_request as $_k => $_v) ${$_k} = RunMagicQuotes($_v);

32 }

这一段是导致变量覆盖的代码，可以覆盖掉$insLockfile这个变量使file_exists判断失效， 导致利用者可以重新安装网站，这个漏洞很久以前就曝出来了。

1网址+/install，直接输入显示的是“dir”，需要到install文件夹删除修改一些文件。

2indexhtml删除，indexphpbak去掉bak，install_locktxt删除

3刷新一下页面（网址+/install），进入安装dedecms的页面，接下来就是和安装时一样的步骤了

4注意事项

如果数据库数据还有用请先进行备份，重新安装不会替换模板。

网站搬家的方法有很多。下面是最常用的一种方法：

一、进入织梦DedeCMS的后台备份数据库

步骤：系统 –> 数据库备份/还原 -> 全选所有织梦的数据表，然后点击提交

数据备份在网站根目录下的\data\backupdata文件夹里面

二、将原来空间上的所有文件下载到本地

三、将下载回来的文件上传至新空间

四、在新空间重新安装DedeCms

新空间安装DeDecms的方法：删除空间上的install（如果还存在）文件夹，在织梦官网上下载和你网站版本一致的源程序，将压缩包里面的 install文件夹上传至新空间。接着，运行http://你的域名/install进行安装。需要注意的是：数据库表的前缀必须和原数据库表的前缀必 须一致，如果你没有进行过修改，按默认操作即可；安装初始化数据进行体验(体验数据将含带DedeCMS大部分功能的应用操作示例，这个选项不要勾选)。

五、进行数据还原

安装完后，登陆后台，点击 系统管理 –> 数据库备份/还原 –> 数据还原，全选发现的备份文件，（注意：附加参数中的还原表结构信息不要勾选）。

六、点击开始还原数据

七、清除缓存，然后一键更新网站

DedeCMS v57

1支持MySQLi并且调整缓存处理，性能提升

V57新版本默认开发时，测试数据50W，这个容量对于中小型站长已经足以，当然我们不排除有百万、千万级数据的用户需求，这部分的用户我们也有专门的优化方案，可以通过服务列表，了解更多……

2完美兼容PHP53/52+/4版本

PHP官方已经发出所有程序转移到PHP53的号召，但是对于很多主机服务商，很多技术员还没有适应新版本带来的改变，这里我们完美兼容各个PHP主流版本。

3新版客服中心帮你解决疑问，问答模块同步升级

很多人抱怨论坛问题不能及时解决，其实很多问题是不愿重复解决，但拘泥于论坛这种以灌水娱乐为主的地方很难形成技术气氛，官方采用新版问答模块重构客服中心，让大家的疑问能够更快、更方便的得得到解决。

4全新分词组件，让分词更准确、更高效、更快速

新版本系统采用全新分词组件，该分词采用PHP语言进行架构，分词速度快并且执行效率高，当然分词词库也支持自定义，占用内存小等优点，不信去读读代码吧。

5Sphinx全文检索支持

为了满足部分商业用户的需求，新版本检索将支持Sphinx全文检索引擎，当然我们也配有详细的说明文档，全文检索不再困难。

6模块MVC架构

系统问答模块本次采用MVC进行了重构，接下来我们会对整个系统逐步进行重构，在保证系统易用性的同时逐步培养我们自己的技术开发合作联盟，相信未来的织梦会更开放。

7win7模式兼容问题

55以上版本尤其是57sp1版本在win7模式下安装完成后，登陆后台时候会发现白屏，处理方式：

在include找到 userloginclassphp文件，末尾加上session函数库。

function session_register(){ return true;}

如图：

缘由：在php40的时候推出就给了使用者一个函数库：session函数库，靠这个函数库里的函数很方便的实现ID识别问题 首先需要把对方网站的CSS风格样式以及下载下来。把对方要仿制的页面的

html代码复制下来，保存为html文件。

第二，搭建好网站，把保存的文件都放到网站中，用网址访问，观察是否正常

显示，是否缺少文件、

第三，安装好织梦。把保存文件对应的放在织梦的模板目录中。对应设置好仿站的

页面以及CSS及其目录。

第四，填写标签。把保存的HTML代码里面的文章代码用织梦标签替换。重新生成织梦

文档。观察代码显示是否正常。

第五，全局测试，观察是否代码都显示出来，文件对应是否完整。

第六、织梦CMS_V57仿站标签手册 1、以下目录：data、templets、uploads、a设置可读写不可执行权限。其中a目录为文档HTML默认保存路径，可以在后台进行更改；

2、以下目录：include、member、plus、dede设置为可读可执行不可写入权限。其中后台管理目录(默认dede)，可自行修改；

3、如果不需要使用会员、专题，可以直接删除member、special目录；

4、删除install安装目录；

5、管理员帐号密码尽量设置复杂，发布文章可以新建频道管理员，并且只给予相关权限；

6、Mysql数据库链接，不使用root用户，单独建立新用户，并给予：SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限；

7、定期进行备份网站目录和数据库，并在后台进行文件校验、病毒扫描、系统错误修复；

8、改变织梦data目录位置。