总结一下织梦(dedecms)做站需要处理的漏洞:

1、dedecms注入漏洞

    目标路径：/plus/guestbook/edit.inc.php

    解决方案,在：$msg = HtmlReplace($msg, -1);(大概在54行)后面加入:$msg = addslashes($msg);

2、dedecms cookies泄漏导致SQL漏洞

    目标路径：/member/inc/inc_archives_functions.php

    解决方案：搜索(大概在239行),把:

echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields.$cfg_cookie_encode)."\" />";
修改为：
echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"". md5($dede_addonfields . 'anythingelse' .$cfg_cookie_encode) ."\" />";

3、dedecms模版SQL注入漏洞

    目标路径：/member/soft_add.php

    解决方案：搜索(大概在154行),把：

$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";
替换成：
if(preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1){ $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";}

4、dedecms上传漏洞

    目标路径：/include/uploadsafe.inc.php

    解决方案(大概在42行),把：

${$_key.'_size'} = @filesize($$_key);}
替换成：
${$_key.'_size'} = @filesize($$_key);
}
$imtypes = array("image/pjpeg", "image/jpeg", "image/gif", "image/png", "image/xpng", "image/wbmp", "image/bmp");
if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes)) { $image_dd = @getimagesize($$_key); if($image_dd == false){ continue; }
if (!is_array($image_dd)) { exit('Upload filetype not allow !');}}

$image_dd = @getimagesize($$_key);
替换成：
$image_dd = @getimagesize($$_key);
if($image_dd == false){ continue;}

5、dedecms后台文件任意上传漏洞

    目标路径：/dede/media_add.php

    解决方案,(大概在69行)搜索:

$fullfilename = $cfg_basedir.$filename;
替换成：
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
    ShowMsg("你指定的文件名被系统禁止！",'java script:;');
    exit();
}
$fullfilename = $cfg_basedir.$filename;

6、dedecms cookies泄漏导致SQL漏洞

    目标路径：/member/article_add.php

    解决方案：把(大概在83行)

if (empty($dede_fieldshash) || $dede_fieldshash != md5($dede_addonfields.$cfg_cookie_encode)){
    showMsg('数据校验不对，程序返回', '-1');
    exit();
}
替换成：
if (empty($dede_fieldshash) || ( $dede_fieldshash != md5($dede_addonfields . $cfg_cookie_encode) && $dede_fieldshash != md5($dede_addonfields . 'anythingelse' . $cfg_cookie_encode)) ){
    showMsg('数据校验不对，程序返回', '-1');
    exit();
}

以上就是织梦(dedecms)目前已知的漏洞了,做到这些安全算是有些保障了。

但是.... 对于大佬来说，该怎么注入还是怎么注入,然并卵...

换建站程序才是王道！基于thinkphp5开发的快速开发框架了解一下？TPFrame