dedecms最近被曝有非常多的安全漏洞，最近有些用戶反應后臺管理員賬號密碼沒有修改但無法正常登陸，提示用戶名不存在，經(jīng)研究發(fā)現(xiàn)是程序漏洞管理員被直接篡改，解決方案如下。

一、請先使用phpmyadmin登陸mysql管理，虛擬主機可以點擊控制面板左邊數(shù)據(jù)庫，然后點擊在線管理mysql數(shù)據(jù)庫可以進入phpmyadmin管理數(shù)據(jù)庫

登陸以后查看dede_admin表里面的用戶是否被篡改為spider  點擊編輯，直接將spider修改為您需要的管理員，pwd替換為962ac59075b964b07152，這個密碼是123，更改以后請及時登陸網(wǎng)站后臺進行修改密碼。

二、下載 /include/dedesql.class.php和/include/dedesqli.class.php

找到如下代碼：

    if(isset($GLOBALS['arrs1']))

    {

    $v1 = $v2 = '';

    for($i=0;isset($arrs1[$i]);$i++)

    {

    $v1 .= chr($arrs1[$i]);

    }

    for($i=0;isset($arrs2[$i]);$i++)

    {

    $v2 .= chr($arrs2[$i]);

    }

    $GLOBALS[$v1] .= $v2;

    }

    修改為：

    $GLOBALS['arrs1']=array();//fixedbyknownsec.com 2013.06.07

    if(isset($GLOBALS['arrs1']))

    {

    $v1 = $v2 = '';

    for($i=0;isset($arrs1[$i]);$i++)

    {

    $v1 .= chr($arrs1[$i]);

    }

    for($i=0;isset($arrs2[$i]);$i++)

    {

    $v2 .= chr($arrs2[$i]);

    }

    $GLOBALS[$v1] .= $v2;

 }

有些版本dedesqli.class.php里面沒有這段代碼，修改前請做好備份，然后再重新上傳，此漏洞臨時修補方法來源于：http://www.cctime.com/html/2013-6-8/2013681021556610.htm 我司只測試過該方法對賬號漏洞的修補功能有效，對系統(tǒng)其它功能有無影響沒有測試，如有影響請還原測試，dedecms漏洞非常多并且很嚴重，請注意及時升級更新補丁。