今天在Discuz開發(fā)者QQ群中，看到一些開發(fā)者良心不安，至于原因，就是他們把以前的客戶的網站授權給屏蔽了，理由是客戶傳播了他們自己的商業(yè)版作品。而客戶當時發(fā)毒誓沒有傳播，后來當他自己看到一些社工網站上發(fā)布的攻擊Discuz論壇的詳細過程的時候，他發(fā)現(xiàn)自己也曾存在這樣的問題。

其實在軟件工程里，沒有絕對完美的系統(tǒng)。而在網站程序或者系統(tǒng)同樣如此，就哪怕是Wordpress及Discuz這樣被大量使用的開源程序依然存在各種問題，更何況是我們自己寫的一些程序。比如在烏云漏洞平臺搜索關于Discuz的漏洞就有幾百條結果。

當然上述的漏洞基本上是一些程序上面的漏洞，這樣的漏洞的修復和發(fā)現(xiàn)都需要有一定的編程基礎，當然這樣的漏洞你想利用也需要一定的基礎；因此這樣的問題對于普通網站管理員來說似乎有點太遠了。

但是有很多并不是太遠的東西，普通網站管理員也可以做到的一些事情；而且這樣的東西不完善就很容易被不速之客利用，哪怕對方是一個不懂編程的小白。比如上面說的開發(fā)者遇到的問題，并不是因為Discuz的自身漏洞被利用了，而是他的作品給了一個演示站，然后直接開放了最高管理員帳號給客戶登錄這個演示站做測試（為了讓客戶完全體驗真實管理網站操作）。而Discuz后來可以備份數(shù)據(jù)和執(zhí)行SQL，有了這些條件哪怕是一個不懂編程的小白也進行相應的操作拿到這個網站中的作品。

而今天我要提醒大家的跟這個類似，其實也就一個習慣的問題。很多網站管理員都有備份的習慣，很多時候我們都是把文件打包，習慣好的可能打包到本地或者備份服務器或者同一服務器的其他路徑。而不好的則是直接放在ftp里，甚至當前網站目錄里。比如下面就是（這是我曾經服務過的一個客戶的，當然我們不會進行任何操作，這里只是拿一張圖來說明問題）：

這樣的后果非常嚴重，現(xiàn)在網上就有那種掃備份包的軟件，一旦掃到網站目錄存在壓縮包就可以把這個壓縮包下載下來。然后這個備份里面就包含了數(shù)據(jù)庫鏈接配置（包含數(shù)據(jù)庫ip、端口、數(shù)據(jù)庫名、用戶名、密碼）等，甚至里面就已經有了數(shù)據(jù)庫的備份。

而很多時候大家為了自己方便，通常是給對應的數(shù)據(jù)庫用戶開放了遠程鏈接的權限（直接用root作為網站數(shù)據(jù)庫用戶的就更不用說了），而這個時候直接可以用數(shù)據(jù)庫客戶端登錄數(shù)據(jù)庫，進行數(shù)據(jù)庫的任何操作了。就算沒有開放這個權限。很多服務器都安裝了web數(shù)據(jù)庫管理軟件（比如mysql的myphpadmin之類的），同樣可以利用軟件掃描到這樣軟件的路徑，再利用備份包里的信息就可以隨意操作數(shù)據(jù)庫了。

因此，我建議大家盡量在備份網站的時候留個心眼，也許一時的方便會造成你長久的不方便。