漏洞是网站程序存在的毛病,这也就是为什么zblog一直在保持更新,因为使用多了,问题也会逐渐显现,比如XSS(跨站脚本攻击)漏洞、sql注入等,这是常见的问题,比如一些网友反映自己的zblog站点被黑了,这种基本是被bcai攻击,据说是cmd.asp漏洞这个文件相关参数过滤不严谨导致,不过还好目前zblog已经全面升级php程序。下面我们来讲讲zblog一些基本问题。
1 忘记密码
zblog网站忘记密码是常有的事情,而且又不支持邮箱找回,这是非常尴尬的,当然你可能会想进入数据库查看,不过这仅仅看到的是加密过的密码,是不可解密的,这也没什么用,大多数人可能会重装程序,但是一个有规模的站点重新安装代价太大,除非你非常勤快的备份网站,这样损失会比较小。

好在官方提供了免登录文件,大家可以在官方论坛下载这个登入文件,nologin.php,利用fpt传输工具,登入网站根目录,然后把文件放到根目录中,之后访问www.xxx.com/nologin.php即可。部分核心代码如下:
<?php
require './zb_system/function/c_system_base.php';
//$zbp->Load();
if (isset($_GET['uid']) && isset($_GET['resetpw'])) {
$id = (int) $_GET['uid'];
$m = $zbp->GetMemberByID($id);
$m->Level = 1;
$m->Password = Member::GetPassWordByGuid('12345678', $m->Guid);
$m->Save();
Redirect('zb_system/cmd.php?act=login');
die;
}
if (isset($_GET['uid'])) {
$zbp->Load();
$zbp->LoadMembers(1);
$m = $zbp->members[$_GET['uid']];
if (function_exists('SetLoginCookie')) {
SetLoginCookie($m, 0);
} else {
$un = $m->Name;
$zbp->user = $m;
if ($blogversion > 131221) {
$ps = md5($m->Password . $zbp->guid);
} else {
$ps = md5($m->Password . $zbp->path);
}
setcookie("username", $un, 0, $zbp->cookiespath);
setcookie("password", $ps, 0, $zbp->cookiespath);
}
if (isset($GLOBALS['hooks']['Filter_Plugin_VerifyLogin_Succeed'])) {
foreach ($GLOBALS['hooks']['Filter_Plugin_VerifyLogin_Succeed'] as $fpname => &$fpsignal) {
$fpname();
}
}
Redirect('zb_system/cmd.php?act=login');
die();
}
?>
2 权限问题
通常情况下,网站分为超级管理员和普通用户、游客等,zblog中用户权限可分为6大部分,分别是:管理员、网站编辑、作者、协作、评论者、游客,标识为1到6,对于超级管理员拥有站点所有的权限,比如会员删除、会员编辑等等,如果需要增加或删除相关等级,可进行相关文件修改。
3 Emoji表情
在之前的版本中,mysql中的utf8编码并不是标准的UTF-8,因此你会在配置文件中发现有 'ZC_MYSQL_CHARSET' => 'utf8mb4',这么一个语句,解决了编码的不标准问题,如果你是以前的版本,可以登入数据库管理工具,这里常用phpmyadmin,这是一款数据库可视化共据,点击结构,然后全选,点击修改可以为utf8mb4_general_ci即可。
4 网站指定域名使用及登录
zblog如何指定域名登入呢?你一定想自己的网站只有自己的域名能够登入,而其它域名是不可使用的,那么你可以在配置文件中加入下面这段配置:
'ZC_PERMANENT_DOMAIN_WHOLE_DISABLE' => false,
'ZC_PERMANENT_DOMAIN_FORCED_URL' => "www.xxx.com",
加入这段配置之后,只有配置的这个网址可以访问,其它的是不能访问的,因此,即使别人拿来你的网站程序也是不能够用的。具体在c_option文件加入。
以上就是zblog相关问题。
顶一下
(0)
踩一下
(0)