metinfo資料庫

① 為什麼我在建站時總是連接資料庫失敗呢

APMServ5.26的資料庫默認用戶名是root，而密碼默認是空的。不知道你是否改過密碼。你可以用phpMyAdmin管理連接資料庫試試，如果連接上了，就表明密碼無誤，用CMS應該就沒有問題。
從你的情況來看估計用phpMyAdmin管理是連接不上的。
最簡單的方法就是重裝APMServ5.26，就是把APMServ5.26壓縮包重新解壓到一個新的文件夾。就能連上資料庫了。

② 如何用源代碼建站如何製作公司網站

企業網站可以使用開源CMS企業建站系統MetInfo，以下為具體的安裝步驟，視頻教程你可以搜索一下「如何在虛擬主機安裝MetInfo」

安裝之前，請先確認你的虛擬主機已具備運行MetInfo的必備條件，即可以運行PHP+MYsql，並且PHP版本為v5.3-v7.0的任意版本，你可以找虛擬主機提供商確認。

並已做好域名解析和綁定，確保域名已可以正常訪問主機，可以參考米拓學院域名解析與綁定教程，或直接使用主機贈送的免費三級域名安裝。

第一步、下載安裝包：下載最新版本的安裝包

第二步、安裝FTP軟體：網路搜索下載安裝，可以使用winscp或filezilla

第三步、登錄虛擬主舉鋒機：通過FTP連接虛擬主機，從虛擬主機控制面板找到主機連接賬號密碼等，填入FTP連接設置中

第四步、彎弊上傳安裝包：上傳MetInfo安裝包至根目錄www，一般虛擬主機的根目錄為wwwroot、www、htdocs、root或FTP連接成功後的默認目錄，如果你無法確認，請找主機提供商咨詢

第五步、上傳解壓工具：下載PHP在線解壓工具，下載地址，下載解壓後上傳到第四步安裝包的根目錄

第六步、解壓MetInfo安裝包：通過瀏覽器訪問「域名/unzip.php?file=MetInfo6.2.0.zip」，注意使用可以訪問主機根目錄的域名和使用實際上傳的安裝包名稱，當頁面出現OK時，刷新FTP確認是否解壓成功

第七步、開始安裝：通過域名直接訪問網站，當出現如下界面時，表示可以正常安裝了，仔細閱讀用戶許可協議，同意協議後請點擊下一步

第八步、環境檢測：系統會自動檢測安裝環境，只有全部通過後才可以進行下一步安裝埋答族，如發現許可權問題，請通過FTP直接修改

第九步、填寫資料庫信息：虛擬主機控制面板都可以找到資料庫相關信息，請直接復制填寫即可

第十步、設置管理員信息：

第十一步、安裝完成：你可以訪問網站或直接管理網站，網站的默認管理地址為「域名/admin」，至此，MetInfo已安裝完成，你可以登錄後台在可視化編輯中更換網站圖片、顏色、文字，添加網站欄目和內容等。

③ php漏洞怎麼修復

近日，我們SINE安全對metinfo進行網站安全檢測發現，metinfo米拓建站系統存在高危的sql注入漏洞，攻擊者可以利用該漏洞對網站的代碼進行sql注入攻擊，偽造惡意的sql非法語句，對網站的資料庫，以及後端伺服器進行攻擊，該metinfo漏洞影響版本較為廣泛，metinfo6.1.0版本，metinfo 6.1.3版本，metinfo 6.2.0都會受到該網站漏洞的攻擊。

metinfo建站系統使用的PHP語言開發，資料庫採用的是mysql架構開發的，在整體的網站使用過程中，簡單易操作，可視化的對網站外觀進行設計，第三方API介面豐富，模板文件較多，深受企業網站的青睞，建站成本較低可以一鍵搭建網站，目前國內使用metinfo建站的網站數量較多，該metinfo漏洞會使大部分的網站受到攻擊影響，嚴重的網站首頁被篡改，跳轉到其他網站，以及網站被劫持跳轉到惡意網站上，包括網站被掛馬，快照被劫持等情況都會發生。

關於該metinfo漏洞的分析，我們來看下漏洞產生的原因：

該漏洞產生在member會員文件夾下的basic.php代碼文件：

metinfo獨有的設計風格，使用了MVC框架進行設計，該漏洞的主要點在於使用了auth類的調用方式，在解碼加密過程的演算法中出現了問題，我們再來看下代碼：

通常加密，以及解密的演算法是不可以可逆的，但是metinfo寫的代碼可以進行偽造函數值進行逆算，我們看這個構造的惡意函數，這里的key值是從前端met_webkeys值里進行獲取，將獲取到的webkeys值進行寫入，並賦值到配置文件里，config目錄下的config_safe.php代碼里。我們通過查看這個代碼，發現寫入的值沒有辦法進行PHP腳本的執行，本來以為可是偽造key值進行寫入木馬，發現行不通，但是在這個偽造key值的過程可以進行sql注入攻擊，採用是延時注入方式進行

關於metinfo漏洞的修復建議，以及安全方案

目前metinfo最新版本發布是2019年3月28日，6.2.0版本，官方並沒有針對此sql注入漏洞進行修復，建議網站的運營者對網站的後台地址進行更改，管理員的賬號密碼進行更改，更改為數字+字元+大小寫的12位以上的組合方式，對網站的配置文件目錄進行安全限制，去掉PHP腳本執行許可權，如果自己對代碼不是太熟悉，建議找專業的網站安全公司來處理修復漏洞，國內SINE安全，以及綠盟，啟明星辰，都是比較不錯的網站漏洞修復公司。