不太同意楼主观点

这次补丁的主要目的是为了防止得到后台权限后拿到webshell，以免程序被别人窃取和提权得到服务器权限。

若按官方提供的安全设置都设置后，系统已是很安全了

他们代码我基本都看过了，感到安全过滤还是很严谨的

现在若是别人得到后台权限，即使是一个很普通管理员账户，也是可提升到超级管理员权限的，即使打过最新的补丁同样可以得到webshell权限的，利用起来有些难度，我感到基本不会爆发大面积挂马事件。

楼主说的不无道理

但感到楼主有点偏激呀

我说的程序被别人窃取主要指的是商业程序及苦心经营出来的数据

我用科汛商业程序已经三年多了，基本版代码我基本都看过了，感到程序写的还是不错的！安全和效率上都在不断提升。免费版修改后台路径后只要不让恶意者得到数据库，后台路径基本是安全的（rebots.txt、搜索引擎除外）。楼主说的爆出来后台地址应是通过那个遍历漏洞。我不否认现在科汛系统还有很多可以利用地方，但修改后台路径、数据库路径、认证码，设置相应的权限后基本还是可以说相当安全的。

有几点提醒下官方，希望能引起注意：

1、后台新建或修改i模板处对模板内容过滤不严，可上传可执行代码（生成栏目.aso）

2、后台存在cookie欺骗漏洞（提升普通管理员权限、进后台只需知道密码MD5值）

3、会员中心仍存在XSS漏洞(这个利用好会产生很严重后果)

具体就不说太详细了