dedecms又发现一个安全隐患，大家要注意模板里调用的标签。

近期在vps检查各个站点的时候，打开一张图片却无法预览，本以为是坏掉的，准备就此删掉呢，闲的蛋疼用编辑器打开，不打开还好点，一打开吓了哥一跳，里面竟然是几行代码。。。如下代码既是：

<a href="http://www.xuejiqiao.com/" class="hapz" data_ue_src="http://www.xuejiqiao.com/">Booklet Printing</a><div type="text/css" _ue_div_style="1" _ue_org_tagname="style" _ue_style_data="%0Aa.hapz%20%7Bposition%3Aabsolute%3Bleft%3A-1200px%3B%7D%0A" _ue_custom_node_="1"></div>

不过里面的网址改为本站的了。

而且在首页模板里有一个调用的标签

{dede:include filename="tapz.gif"/}这要是猛的一看的话以为是网站调用的图片呢。但是网站一更新的话，在查看源代码里会发现有站外链接，在站长工具里查看反链也会发现。这是又一个加黑链的好方法啊。

不过我发现了怎么修改gif图片里，但是图片又预览不了的方法.

首先就是本地创建个txt文本，把所需要的代码写入txt文档，完毕后修改txt格式为gif的或者jpg。你在预览下图片是预览不了的，但是用代码编辑器，打开后就会发现里面是刚才写的代码，而且代码还没有乱码。其实一点也神奇，在it行业的，懂点计算机的，都知道这回事，但是我们从来没有把这些小知识用到工作生活里，所以当别人用的时候大吃一惊。才感悟到原来是这么一回事。

但是，回到安全话题上，别人怎么可能把代码写入到你的模板里呢，最好才看到，这个新站的后台登录路径没有修改，而且帐号和密码都是默认的。

有时候发现网站被挂黑链了，但是又不知道代码在哪，我们的第一反应就是js，或者php或者asp，看看有没有此类的，但是忽略了，我们常用的dede模板调用标签。

小编语：细节决定成败！