z-blog 后台的 文件管理 功能很强大,可以编辑和删除你网站目录下的所有的文件.这对于网站的安全有很大的威胁。万一管理密码泄露,那后果是不堪设想的。以前在月光看到过这方面的教材,但不是很详细,就一直没有去除自己后台的文件管理这个功能。直到今天朋友的一个站被挂了马,才意识到安全的重要性。
在这里我根据自己的摸索和结合月光的教材,详细说明如下。(高手就飘过吧,我是不懂编程的菜鸟,不许笑!)
首先打开目录下的cmd.asp文件,将221行的Call SiteFileMng()以及后面的Call SiteFileEdt()、Call SiteFilePst()、Call SiteFileDel()四行注释。
如图:
然后,打开 FUNCTION 下面的 c_system_base.asp文件,将528行开始的几行修改为:
Case "SiteFileMng"
GetRights=0
Case "SiteFileEdt"
GetRights=0
Case "SiteFilePst"
GetRights=0
Case "SiteFileDel"
GetRights=0
其实就是把Getright =后的1 改为0.
最后是修改后台菜单界面,打开在admin 下的admin_left.asp,
将第66行删除,如图:
OK。到目前为止就算基本搞定了,如果图片显示模糊可以点击图片查看。
上面所说的第几行等等。。和你的文件中的可能有出入。具体以代码为准。