今天在搞Phpcms做站时,需要在列表页、首页调用文章列表调用文章的点击量和评论排行,那么怎么才能做到在Phpcms v9首页、频道页、列表页、推荐位等页面获取文章浏览量和评论统计呢?
以上标签首页不能调用,分类页和文章页都可以。从某种意义上讲 CAT = CATEGORYS[catid] 但是CATEGORYS是二维数组,可以在任意位置调用。可以看下 CATEGORYS栏目数组面包屑导航{catpos(catid)} 当前位置,在首页什么都不显示,在栏目页和文章页会显示所在栏目层级。一般都这么用
在众多CMS系统中,为什么我偏偏选中了 PHPCMS 而不去选择使用人数最多的织梦CMS,也没有选择论坛人气很高的帝国CMS,更没有选择其他诸如齐博,DESTOON等CMS。
PHPCMS的首页默认只会生成一个页面,要实现分页功能,要么把首页动态化,要么新建一个分类在url规则管理路径生成到首页。
今天给各位分享cms系统套标签的知识,其中也会对进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
前面咱们一起学习了phpcms_v9.6.0,任意文件上传漏洞复现的过程,不知道小伙伴们后面有没有想到如何进行批量检测呢?我尝试写了个Python脚本,这里要感谢下小建建的API,哈哈,感觉效果还不错;欢迎写好Python的小伙伴们和我一起交流呀! 创作背景: 上周发完phpcms_v9.6.0,任意文件上传漏洞复现的过程的文章后,有小伙伴们说phpcms_v9.6.1的任意文件下载一直复现不成功,于是就有了本文。 基础环境: 1、 phpcms_v9.6.1源码。 2、 web应用环境用于搭建php
前言 在开启严肃认真的知识分享前,斗哥跟大家说一件严肃的事儿!本周日是一年一度的母亲节!无论你身处他乡还是奔波忙碌,别忘了给亲爱的母上大人送上节日的祝福,家永远是避风的港湾。好啦!煽情结束! 本周斗哥给大家带来了4月份爆出phpcms v9.6.0的漏洞之一,允许上传任意文件,可直接利用该漏洞getShell,这个漏洞利用过程还是比较简单和直接的,接下来复现下这个漏洞。 基础环境 1.phpcms_v9.6.0源码。 2.web应用环境用于搭建phpcms。 3.web应用服务器用于下载木马文件。 需
PHPCMS是采用MVC设计模式开发,基于模块和操作的方式进行访问,采用单一入口模式进行项目部署和访问,无论访问任何一个模块或者功能,只有一个统一的入口。
一、找网站SQL注入点 在测试时后发现有一个信息查询框,就是下面这个图片显示的。一般信息查询框会和数据库存在交互。 我输入数字1,会正常提示木查询到相关信息。 那我们使用1’测试一下,发现不弹未查询到相关信息的提示框,也没有任何数据输出,大致判断这个点存在sql注入,并且不对输出报错信息。 大概猜测出SQL语句为 : select * from A where id ='$_POST['id']'; 没有对用户输入的数据做任何过滤。 构造一个闭合语句再次确认一些是否确认存在sql注入。 paylo
之所以总结这些判断,是因为我的博客是由WordPress博客转换而来,习惯了博客程序的我,自然就要用到页面判断功能,方便公用模板的调用。
phpcms v9文章页调用栏目链接调用成首页 解决办法: url写入失败,所以需要手动写入栏目文件夹名称 文章的设置需注意选择内容页模板 然后批量更新栏目页,url,内容页就可以了
为了响应爱慕锅(Mramydnei)、撸大师(索马里的海贼)、fd牛(/fd)的号召成立的parsec团队,以及各位老师多年来对我的教育,我要写篇回忆稿。看标题大家可能觉得,这陈芝麻烂谷子的事你还拿出来说啥。当然,我自己搓一点都无所谓,但怎么能丢了parsec的脸,各位还是且听我娓娓道来~
SINE安全公司在对phpcms2008网站代码进行安全检测与审计的时候发现该phpcms存在远程代码写入缓存文件的一个SQL注入漏洞,该phpcms漏洞危害较大,可以导致网站被黑,以及服务器遭受黑客的攻击,关于这次发现的phpcms漏洞细节以及如何利用提权我们来详细剖析。
支持到PHPCMS V9.1.18 前段时间由于结婚,耽搁了ueditor 1.2.2的整合,实在抱歉。最近几天熬夜整合了ueditor 1.2.3,依然是亮点与BUG同样闪耀的ueditor,依然是深度整合PHPCMS V9。 ueditor官方网站:http://ueditor.baidu.com/ ueditor在线演示:http://ueditor.baidu.com/website/onlinedemo.html PHPCMS 官方网站:http://www.phpcms.cn/ 注意:所有文件都是utf-8编码,gbk编码的同学需要自行转换编码。 感谢aqstudio同学进行gbk转码,gbk编码的同学请移步:http://bbs.phpcms.cn/thread-697394-1-1.html 下载方式依然在最后! 2012年12月14日9时30分:修复前台会员中心投稿和黄页中上传页面显示问题(前台会员中心投稿要使用上传功能,需在后台“用户”》“管理会员组”中为相关用户组设置“允许上传附件”)。 2012年9月22日21时30分:修复抓取多个远传图片后所有图片均显示为第一个图片的问题。感谢水影(QQ:506883601)反馈BUG。(涉及文件:ueditor.php) 2012年9月13日23时20分:修复图片上传后在附件表中图片记录的status的状态为“0”的问题,修复图片上传后图片名(filename)的后缀名重复的问题。感谢DON(QQ:313959887)反馈BUG。(涉及文件:attachment.class.php,ueditor.php,wordimage.tpl.php,wordimage.tpl.php,editor_all.js,scrawl.js) 2012年9月4日16时30分:修复子标题对话框不能显示的BUG。 2012年9月4日0时30分:整合ueditor1.2.3,新增图片上传水印控制、涂鸦、远程图片抓取、word图片转存等功能,修复PHPCMS V9后台管理启用二级域名引发的JS跨域问题,改进子标题显示。感谢遥望(QQ:1239523)反馈修改意见。 2012年7月9日22时10分:由于最近准备婚礼,ueditor1.2.2整合只能推迟了,非常抱歉,敬请谅解! 2012年6月9日16时20分:修复staticsjsueditordialogsimageimage.js中ueditor路径调用错误的BUG(造成前台、黄页或者其他位置上传图片时flash上传组件不能显示) 2012年6月2日22时50分:ueditor升级到1.2.1版本,新增了对远程抓取图片功能的整合(由于ueditor1.2.1改动较大,整合花了点时间,放出的晚了,请见谅,IE6下未测试,请用IE6的朋友帮忙测试一下) 2012年4月8日14时30分:感谢 “名湖(QQ:52061009)”帮助修改完善ueditor初始化代码和数据校验代码,修正编辑器z-index的问题,向名湖致敬! 2012年4月7日晚9时:修正由于window.onload冲突而引起在谷歌浏览器下添加和修改新闻时提示“[hash]数据验证失败”的BUG。 主要功能: 1.为ueditor添加PHPCMS V9子标题插件 2.图片上传采用ueditor的默认上传插件 3.附件上传采用PHPCMS V9的附件上传 4.上传路径采用PHPCMS V9的默认目录模式 5.修正了PHPCMS V9 未使用附件列表中没有文件名的一个小BUG 6.实现远程图片抓取功能 7.整合ueditor涂鸦功能 8.整合ueditor word图片转存功能 9.修复PHPCMS V9后台管理启用二级域名而引发的JS跨域问题 10.支持前台用户投稿和黄页新闻发布 上图片:
在用PC V9建站的时候,很多朋友会想到Phpcms V9判定当前栏目,让当前栏目高亮的功能,在这里分享判断当前栏目、当前栏目高亮的代码,同时在此要分享if语句判断分类信息是否过期,CMSYOU给力。
PHPCMS默认只支持在文章页调用TAG标签,但是很多时候我们希望他显示在网站首页或者分类列表页,一查数据库,发现关键字都存在与keywords这个字段中。 问题来了,当有多个关键字时,他会以空格或者逗号隔开,我们如果想调用这个关键字的链接该怎么办呢? 解决方案: 用PHP的explode函数将关键字分开,然后再自定义链接
PHPCMS调用指定频道|栏目地址URL和名称 1.调用phpcms频道|栏目URL代码: {$CATEGORYS[id]['url']} 例如:调用catid=41的栏目地址: {$CATEGORYS[41]['url']} 2..调用phpcms频道|栏目URL代码 {$CATEGORYS[id]['catname']} 例如:调用catid=41的栏目名称,调用代码就用 {$CATEGORYS[41]['catname']} 注: {$CATEGORYS[id]['url']} 和{$CATEGORY
代码解析这里用到的是数据库语句,调用 v9_news a 和 v9_news_data 两个表,按文章发布时间倒序排序。if pages 表示如果有分页,则调用分页,一般用于博客站。注意事项分页问题:在栏目列表页调用全站最新文章是没有问题的,但是在首页调用全站最新文章要分动态和静态。page=”page” 默认的静态page=”
调用phpcms/modules/member/index.php中login。 读取caches/configs/system.php中phpsso的配置。 调用phpcms/modules/member/classes/client.class.php的_ps_post()发送登录信息。 该请求被发送到phpsso_server/phpcms/modules/phpsso/index.php的login方法。 phpsso读取数据库配置phpsso_server/caches/configs/datab
dedecms :说这个是国内人气最旺的cms,我想没有人反对吧? 中国站长站(chinaz.com),站长资讯(admin5.com),称这两个站点是大站,没人反对吧?如果你做的是个人站点,如果数据
PHPCMS默认仅支持栏目点击排行榜,在V9版本中,也可以通过数据库来调用全站点击排行。
PHPCMS系统内定义了一个很段的函数:go(),因为太短,这个go函数很容易和其他代码内的函数重名,我遇到的是swoole内也有go函数,所以当PHPCMS遇到swoole,就会出现如下提示:
2017年4月份左右PHPCMS V9.6被曝出注册页面存在任意文件上传漏洞,通过该漏洞攻击者可以在未授权的情况下上传任意文件,甚至getshell
原理是:在http协议层,对动态页面进行缓存,对需要实时信息及已登录的会话跳出缓存,此技术主要针对匿名访问的用户进行加速响应,以减少应用服务器和数据库的开销。
PHPCMS V9单网页SEO设置标题为何读取不了,添加的单网页SEO设置标题读取不了,只能读取站点名称。 解决方案: 来自官方论坛的方法
0x00 背景 最近做代码审计的时候发现phpcms 有更新,现在漏洞详情基本不公开,想要知道漏洞的利用方法只能自己审计了,通常可进行新旧版本的代码比较了,来定位旧版本的漏洞位置,便下载了phpcms 9.6.3与phpcms 9.6.1 和phpcms 9.6.2的源码进行比较和审计,发现phpcms 9.6.2 中存在任意文件下载补丁绕过和前台SQL注入,便撰写了本文做个记录,期待和师傅们的各种交流和讨论。 0x01 任意文件下载补丁绕过 对比phpcms 9.6.2 版本与phpcms 9.6.1
希望phpcms跟WordPress一样,能够在文章发布页面自定义url,从而提高SEO优化吗?phpcms V9版本默认是不支持自定义网址的,不过只要跟我一起稍微做下改动即可实现自定义url,甚至超过WordPress的固定连接功能。
现在很多人都想制作一个个人博客,前端html静态页面,免费的很多,但是拿到一个静态页面,自己并不知道怎么用。你可以选择下载免费的博客程序源码,或者cms。这些开源的博客程序源码,都是经过很多次版本测试的,都有固定的使用人群。我所知道的主流的博客程序有,Z-blog,Emlog,WordPress,Typecho等,免费的cms系统有,织梦cms(dedecms),phpcms,帝国cms(EmpireCMS)等。这些都是开源免费的程序,用它们来做一个个人博客网站,是可以的。 很多新手站长不知道该如何选择合适的博客程序源码来搭建自己的个人独立博客,主要原因还是不太了解这些博客程序的特点。这些博客程序都有它的使用教程,如果你有足够的时间,可以选择去学习。 我相信很多站长,都使用过以上的博客程序源码。我先来简单说说,我在使用这些博客程序源码的一个体验感受: 1、Z-Blog。Z-blog博客程序的特点在于它有asp,php两个版本,有可选择性,页面静态化做得比较好,有利于SEO优化。但Z-blog目前提供的不少主题模板和插件是收费的,而且主题不是很多。 2、Emlog。Emlog(点滴记忆),程序大小只有500KB左右。它的特点就是源程序文件非常小。Emlog的基本功能比较简单,对于做一个简单的博客来说足够。不够完美的地方在于,Emlog不能html静态化,支持的是伪静态。 3、WordPress。相比较前两个来说,WordPress的人气应该是最高的,WordPress的博客主题很多,免费的,付费的,更新也快。WordPress程序依托的是插件和主题,作为国际性开源程序,它的功能非常强大。美中不足的地方在于,它的插件多,网站速度加载会比较慢。 4、织梦cms(dedecms)。最新版本V5.7SP2正式版,更新时间:2018年01月09日。dedecms采用PHP+MySQL的技术架构,个人站长用得也比较多,因为它上手快,标签好调用,对于想做资讯网站的站长来说,简单看看教程,也能在短时间学会。dedecms是完全开源的,不足的地方在于,漏洞很多,网站时不时被攻击挂马。 5、PHPCMS。最新版 V9.6.3 ,更新时间:2017年05月15日。使用的MVC模式编程,模块化的设计,非常适合网站的二次开发,从后台的美观度来说,PHPCMS V9的后台界面最为美观,操作也简单。我记得dede和帝国cms还在用table的时候,phpcms开发模板用的是div+css,界面好看布局又合理。就扩展性来说,不是很好,v9之后,就不再更新了。 6、帝国cms。从安全性来说,帝国CMS,PHPCMS的安全性高,没有什么漏洞,帝国cms页面静态化,利于优化,而且扩展性很好,适合做二次开发。但从美观度来说,帝国cms不重视这些,甚至很多都是table布局。之前我写过一篇文章,《个人博客,我为什么要用帝国cms?》,也是在使用了以上这些博客程序源码后写的一个总结,兜兜转转,最后还是使用了帝国cms,作为我的博客程序。 以上这些,仅属于个人观点,每个程序都有它的优缺点,选择什么样的程序源码,看个人的需求和爱好。比如,有程序基础的,喜欢易于开发和灵活性强的,可以选择帝国cms。喜欢漂亮的,后台易于操作的,想经常换主题的,可以选择wordpress,总的来说,根据个人的情况来选择,选适合自己的,慢慢熟悉系统。
本次PHPCMS版本为9.6.0,安装步骤跟上一篇文章一样,参考PHPCMS_V9.2任意文件上传getshell漏洞分析
前段时间将客户的phpcms站点升级到php7.2,相对比较顺利,但是今天他反应文章无法修改了,提示Uncaught Error: [] operator not supported for strings 错误,这就有点尴尬了,可能是PHP7以上对语法要求比较严谨,那我们就照着错误提示来寻找解决方案
1.在站点跟目录新建一个目录,目录名自定,例如manage,这个manage目录就是今后你登陆后台需要访问路径。
如今互联网的下半场已经开始,在各种大资本的充斥下,自媒体占据了主流位置,但是无论哪个时代,cms内容管理系统的作用都不可替代,毕竟网站建设这个行业80%的网站都是采用这些老牌的cms网站系统制作,他们对网站建设这个行业的的地位和影响力仍然举足轻重,相信下面这几家老牌CMS系统都伴随了许多老站长的成长,云数据的小编给大家介绍一下。
国内网站建设市场参差不齐,建站公司多如牛毛,网站价格便宜的几百,贵的几十万,作为外行,很难去选择,国内大部分网站建设公司都是营销公司,完全没有底层技术框架的开发能力,90%以上的网站建设公司都是基于各种cms网站内容管理系统来制作网站,七牛云小编根据最近服务器各种cms的安装量,统计国内用户比较多的几个cms,并分别介绍,希望对从事网站建设的朋友能起到参考作用。
最近研究源码审计相关知识,会抓起以前开源的CMS漏洞进行研究,昨天偶然看见了这个PHPCMS的漏洞,就准备分析研究一番,最开始本来想直接从源头对代码进行静态分析,但是发现本身对PHPCMS架构不是很熟
phpcms调用子栏目名称相对比较简单一些,也是用{pc:content}来调用,只是把action设置为category,catid如果为0的话是调用所有一级栏目,如果是其他数字的话,则调用相应栏目的子栏目,比如以下的案例,catid="13"是调用栏目id为13的所有子栏目。完整的调用代码在下面,感兴趣的朋友可以测试一下 {pc:content action="category" catid="13" num="25" siteid="$siteid" order="listorder ASC"
关键字keywords标签对各大搜索引擎的作用无足轻重,反而一个定义不好却有可能造成降权。 PHPCMS中当文章中不设置关键字时,keywords标签默认调用站点关键字,其实很多文章的内容跟站点关键字一点也不相关,写了不想关的关键字还不如不写。 打开 /phpcms/libs/functions/global.func.php 查找
对应的是phpcms/modules/member/index.php中的register函数,所以我们在那里下断点,接着使用 PoC 并开启动态调试,在获取一些信息之后,函数走到了如下位置:
一些比较重要的文章我们通常会设置为推荐,但是即使都是推荐的文章,也分重要程度的,如何把最重要的放到第一,把相对不重要的排序到后面呢? 首先来看下我写的推荐位文章列表代码
我个人喜欢把PHPCMS当作博客来用,而作为一个博客,怎能少了文章置顶功能呢?其中用PHPCMS实现置顶功能非常简单,无非是修改下推荐位的名称为置顶,然后在文章列表中推送需要置顶的文章罢了。 不过博客系统中置顶文章可不会与文章列表中的文章重复,要解决这个问题其实也不难,看代码
PHPCMS的强大在于他的可扩展性强,懂PHP的人,对PHPCMS进行二次开发相对其他CMS程序是最容易的。今天讲下如何实现PHPCMS的列表中的第一项特殊化。 PHPCMS第一个项目加图片缩略图,其他的正常
本文由Tide安全团队成员“TideSec”首发于FreeBuf TideSec专栏:
移动互联网时代,传统企业网站不仅仅局限pc端网站,还会有H5端,微信小程序端,尤其是微信作为一个巨大的流量入口,微信小程序作为企业品牌和开战电商的必争之地。那么企业要实现pc网站,h5网站,小程度多端布局,那么采用cms系统这种成熟的方案是很多企业或网站建设公司最常用的选择,也是最实惠的方式。
近几日,国内知名网站内容管理系统Phpcms频频爆出高危漏洞,虽然Phpcms官方11月27日发布了紧急更新补丁,修补了之前出现的多个" 高危"漏洞。但安恒信息工程师发现更新版本依然存在严重的高危漏洞,导致攻击者在大部分情况下可直接向目标网站写入脚本木马,控制整个网站,并可进行“拖库”、“挂马”等,甚至可以向服务器进行提权操作。 目前安恒信息安全研究院已积极联系Phpcms网站内容管理系统官方通报该漏洞,请广大使用Phpcms的用户密切关注官方补丁更新动态。使用安恒信息明鉴WEB应用弱点扫描器和明御WEB应
今天修改一位客户的phpcms网站,他要求添加https,这对ytkah来说是轻车熟路了,但是后台稍微有点问题,点击分页出现错误,将鼠标移到下一页显示的链接是https://www.abc.com
有时候PHPCMS自带的分页格式并不能满足我们的要求,当然我们可以通过修改程序来实现分页代码自定义化,参考 PHPCMS自定义分页功能 但那样做无疑是比较繁琐的,对后期PHPCMS的升级也带来了诸多的不便。 今天分享的是如何直接在PHPCMS模板中自定义分页格式。请看源代码
批量删除腾讯专栏文章的脚本,腾讯云专栏签约后,抓取文章不插入原来连接,这个我怎么评价了呢!只好删除,走人了
Phpcms默认不支持随机文章调用,必须自己动手实现,以下代码只有 order=”rand()”,其它与正常调用一样。调用代码如下:
许多企业都想建网站,很多不懂的,一般都是请网络公司来建,但是这其中猫腻很多,你找的网站公司大部分也是采用建站系统来给你建,那么常见的建站系统都有哪些呢?这也都是很多新手需要了解的问题。
2020年初是不寻常的一年,因为肺炎的传播,所有人只能呆在家里面国家做贡献,前几天打开电脑值班,有几个客户说他们网站被挂马了,因为之前这几个网站是几年前用phpcms改的,习惯性地去phpcms网站看看,尽然打不开了,今天去看了还是打不开,心想应该是倒闭了,贴吧里面一看,原来已经很早之前打不开了。
今天又要用到PHPCMS的判断来实现循环列表中,每5行进行一次分割。方法是在循环内加上,{php num++},然后用if语句判断, num%5==0 意思是变量num除以5的余数为0,即num必须是5的倍数,完整代码如下
领取专属 10元无门槛券
手把手带您无忧上云