織夢網站漏洞層出不窮，織夢核心目錄include是關鍵，經常被人訪問，當反面教材拿來練手，所以我們要把驗證碼搬出include目錄，織夢驗證碼搬家，如果網站不使用驗證碼的，可以將include文件夾改名。

被別人拿來練手，可能也許你不會信，但是看看你的網站日志你就會知道，有多少無聊的人在訪問你的include目錄。

把織夢驗證碼遷移出include目錄

第一步，新建驗證碼文件夾

1、根目錄，先新建一個文件夾comm（這個是驗證碼的文件夾）

2、然后把include目錄下的vdimgck.php剪切，粘貼到comm文件夾內

3、打開vdimgck.php 找到下面代碼 在打開的第一行

require_once (dirname(__FILE__).'/common.inc.php');

改為

require_once(dirname(__FILE__).'/../include/common.inc.php');

溫馨提醒：其中include目錄如果改名的話就按照改名的寫

這個只是把驗證碼搬出include目錄，且include目錄并沒有改名

繼續找到

'font_file'   => dirname(__FILE__).'/data/fonts/'.mt_rand(1,3).'.ttf','wordlist_file'   => dirname(__FILE__).'/data/words/words.txt',

改為

'font_file'   => dirname(__FILE__).'/../include/data/fonts/'.mt_rand(1,3).'.ttf','wordlist_file'   => dirname(__FILE__).'/../include/data/words/words.txt',

繼續找到

$im = @imagecreatefromjpeg(dirname(__FILE__).'/data/vdcode.jpg');

改為

$im = @imagecreatefromjpeg(dirname(__FILE__).'/../include/data/vdcode.jpg');

這樣就完成了把驗證碼遷移出include目錄，放到comm目錄內

第二步、前端調用改一下 找到驗證碼

<img id="vdimgck" class="yanzma1" align="absmiddle" onClick="this.src=this.src+'?'" style="cursor: pointer;" alt="驗證碼"  src="{dede:global.cfg_cmspath/}/include/vdimgck.php">

也許你們的和我的不一樣，但是這個/include/vdimgck.php點擊換驗證碼肯定一樣吧

{dede:global.cfg_cmspath/}/include/vdimgck.php

改為

{dede:global.cfg_basehost/}/comm/vdimgck.php

一般出現驗證碼的文件夾有

最多的是會員目錄member，還有后臺目錄和templets模板目錄，把php和js還有htm都拖到notepad++查找vdimgck.php就會都出來了

第三步、打開后臺目錄

1、打開dede/templets/sys_data_replace.htm

查找vdimgck.php 找到<img src='../images/vdimgck.php' />

<img src='../comm/vdimgck.php' />

2、打開dede/templets/login.htm

查找include/vdimgck.php

有三處，自己改下，后臺登錄模板的

第四步、檢查調用標簽問題

驗證碼遷移出目錄后需要注意的調用標簽問題，如果目錄名稱改了，還要檢查一下調用標簽。

如果不注意調用標簽，調用標簽出賣了目錄名稱，只能說你改名也是徒勞的

{dede:global.cfg_cmspath/}模板安裝目錄

{dede:global.cfg_memberurl/}這個是會員

{dede:global.cfg_cmsurl/}暴露當前目錄，一般多數會暴露plus，其他的也有

{dede:global.cfg_templets_skin/}暴露網站模板default目錄

把這標簽統統換掉，替換成以下標簽

注意加一根斜線{dede:global.cfg_cmsurl/}/是根目錄

{dede:global.cfg_cmsurl/} 鏈接形式是http://www.CUOxin.com

{dede:global.cfg_cmsurl/}/ 鏈接形式是http://www.CUOxin.com

如果是arclist里面加上絕對路徑，調用標簽是

[field:global.cfg_basehost/]

還有一個就是織夢網站有個調用js閱讀數的標簽，只要是網站標簽調用，路徑出現include目錄的都需要改調用標簽。

溫馨提醒：放驗證碼的目錄一定要允許運行php文件

比如comm目錄 允許執行php文件

對于織夢網站的安全，必須把include目錄改名，plus目錄改名，data目錄改名。后面會添加目錄改名教程，搜索相應的目錄名稱即可。