事件回忆：

在10-26号官方发布了关于安全警告通知(原文http://bbs.kesion.com/dispbbs.asp?BoardID=41&replyID=202807&ID=104422&skin=1),但可能一部分站长没有来得及修改自己的密码....

提出需求：能不能让管理后台只让自己所在城市登录？

解决思路：后台登陆增加IP判断登录所在地区，符合则允许登录后台，不符合则记录日志（有短信的API，可增加短信提醒，如飞信的免费短

信API）。

优点缺点：

优点就是可指定后台允许登录的多个地区，在原登录认证码的基础上加多一道防线。注意，是防线。所以没有绝对的安全。

而现在这个方案的缺点跟认证码类似，如果帐号、密码、认证码再加上“新防线——允许的地区”都泄漏后，后台就很可能会被入侵。

所以以上以下这么多的口水话都只能说明一件事“只能做到相对安全”，绝对安全就不什么系统都不用。把后台撤了，把所有写入权限禁掉

，把服务器网线拔掉，看黑客往哪里黑。。。

附件大概3M就不在论坛上传了，我放到QQ邮箱文件中转，下载请输入提取码：5509bbc6,七天有效期请抓紧时间

---------------------------------------

2009/11/7 更新

论坛上传有大小及数量限制，现已将附件上传至群共享

科讯CMS讨论群：29521670 （入群免验证）

附件包含以下文件，也可以搜索百度、google找“纯真IP数据库”及“纯真IP asp 类”
cls_ip.asp        纯真IP库查询类
QQWry.dat      纯真IP库
ShowIP.exe      纯真IP库更新程序

一、把以上文件放到网站根目录

二、修改文件：admin\login.asp

在<!--#include file="../KS_Cls/Kesion.CommonCls.asp"-->后面添加一行<!--#include file="/cls_ip.asp"-->

并搜索 Call CheckLogin() 修改成 Call CheckArea()

再搜索 Sub CheckLogin() 在代码前插入以下代码

Sub CheckArea()
Dim flag,AllowStr,ArrayAllow,I,ScriptName,IP,Area
IP = KS.GetIP    '得到的是访问者IP,如127.0.0.1
Area = look_ip(IP)   '得到的是“XX省XX市XX区”
flag=False    '默认标记，请不要修改此处。
AllowStr = "广东,广州,本机地址"  '请修改成允许的地区字符串，默认用英文逗号分隔
ArrayAllow = Split(AllowStr,",")
'以下开始循环匹配地区
For I=0 To Ubound(ArrayAllow)
  if instr(lcase(Area),lcase(ArrayAllow(I)))>0 then
   flag=true:Exit For
  end if
Next
'以下是根据匹配结果执行过程
if flag Then
  Call CheckLogin() '地区符合，调用登录验证的方法。
  Exit sub
Else
  ScriptName=KS.R(Trim(Request.ServerVariables("HTTP_REFERER")))
  Call KS.InsertLog("AREACHECK",0,ScriptName,"登录地区异常：" & Area) '记录日志
  response.redirect "/index.asp" '这里可以改成你要跳转的页面
end if
End Sub

以上修改在V5.5、V6测试成功