提高Zblog后台安全性

此文之所以归类于“入侵辅助”，主要是本大王觉得Zblog的后台太他妈的操蛋了。只要你能搞到管理员密码，你想干什么没人能阻拦。

        一般说到Zblog的安全配置，无非是以下几点：
1、账号密码安全
账号：随意发挥，比如“白银时代”
密码：建议用数字+字母8位以上密码。
2、数据库安全设置
更改数据库默认名称，一般在安装时自动改更
更改数据库默认路径
更改文件：c_custom
Const ZC_DATABASE_PATH="data/zblog.mdb"
3、后台安全
登录后台：login.asp 改成其它名称。
4、目录权限设置
因为涉及到IIS或者空间面板管理，所以不实用，请自行搜索。

        上面说的几点都是网上流传的，也不是什么很难理解的东西，不详说了。本大王今天带给大家的是一种另类的方法。即使是你能拿到密码你也无法登陆或者进行文件操作。
先上一张经过处理的后台登陆的效果图：

        看见验证码那个地方了麽？
嘿嘿，即使你能拿到密码又如何，我看你怎么登陆后台。

        其实实现起来很简单：
你先登录后台，然后进入“网站设置管理”“页面设置”“验证码图片中允许出现的字符”
在其中输入一个特殊字符。记住，是一个字符！！！你要是输多了自己都进不去后台你不要来找我。

然后在你以后登录的时候输入5个你所知道的那个字符就可以登录了。不要局限于“@”，也可以是“，”“！”“#”“？”“%”“~”“。”一类的，总之大家发挥自己的想象力吧。

        下面来说第二点：去除z-blog 后台文件管理功能。

最让本大王恼火的就是这个功能了，直接在后台就能处理文件，可以编辑和删除你网站目录下的所有的文件。这个功能太操蛋了。想不通作者是怎么考虑的。
打开目录下的cmd.asp文件，将其中的Call SiteFileMng()、Call SiteFileEdt()、Call SiteFilePst()、Call SiteFileDel()这四行删除，你要是怕出错的话注释掉也可以。　
如图：

然后，打开  FUNCTION   下面的 c_system_base.asp文件，将以下几行修改为无权限：
Case "SiteFileMng"
   GetRights=0
Case "SiteFileEdt"
   GetRights=0
Case "SiteFilePst"
   GetRights=0
Case "SiteFileDel"
   GetRights=0
把Getright =后的1 改为0.
如图：

最后是修改后台菜单界面，打开在admin 下的admin_left.asp，
将第66行删除，如图：


至此我们的Zblog另类安全设置就完成了，大家看看是不是有变化了呢？

嘎嘎
出处：www.shareqq.cn