随着PHPCMS2008的正式版的发布，PHPCMS2007  SP6照理也应该成了历史的一个符号。但偏偏他依然与PHPCMS2008并存着，原因有多方面的，最重要的原因还在于，PHPCMS2008的升级并没有以PHPCMS2007为蓝本，照他们的话说就是脱胎换骨了！因此升级的不便也就给PHPCMS2007继续下去的理由！而也在此时，PHPCMS2007的官方维护基本终止！同时，随着越来越多通过学习PHPCMS2007的源代码的人增多，他就跟windows系统一样，发现的漏洞也会越来越多，但是官方又不管，那么这样下去，给原来使用PHPCMS2007的人那是一种致命的打击，你可以通过以下的途径来解决上述的问题：

1.升级到PHPCMS2008。（虽然升级并不是很到位，但是好过被入侵）

2.升级到别的CMS系统，因为很多的系统结构上和PHPCMS基本上是一致的，而且别的CMS系统 也乐于见到这样的情况发生，多半很乐意帮助你完成转换！

3.自己修改系统，补上洞洞（但是这个工程有点大，总不能自己找齐了所有的洞洞吧，而且需要有编程基础）！

针对于第三点，本文着重在于收集已经发布在网上的洞洞，并尽最大的所能补上这些洞洞！如果你也发现了类似的洞洞，不防给个链接，也好收录在此，方便大家的参考！

1。PHPCMS2007 SP6 vote模块SQL注射漏洞

此文专门针对PHPCMS而写，但不仅限于PHPCMS，大多数情况都适用于其它CMS系统。

服务器被批量挂马是站长经常遇到也是非常头疼的一件事情,谨以此文献给容易被挂马的朋友。

一、挂马前的安全措失

1、黑客的工具去检查你网站的漏洞~当然不要滥用~用些注入SQL的黑客软件检查下你网站就可以了（如啊D注入器等等，我都使用过，没有发现有漏洞有可以挂马的地方，不信你也可以去测试，当然我不知道不代表没有，但是你也应该知道，使用的朋友有多少，如果真的出现很容易被抓的漏洞，要被挂的网站数量恐怕会很恐怖）

2、后台地址建议要修改！

3、检查data目录里是否存在install.lock文件。有用户没给install目录写权限导致安装的时候没有生成lock文件。安装完成后可整个删除intstall目录。

4、后台最好加上验证码，虽然麻烦了点，但是可以避免不少的小黑客用社会工程学来破解你的网站（我就试过，很多朋友的密码常常是手机号，域名，qq等等）

5、建议有一定PHP技术的朋友去修改phpcms的程序，为达到功能不是简单的在前台增加表单后台增加发布表单然后增加数据库字段这么简单，要防止XSS攻击。

6、设置好服务器web目录权限