finecms 整合阿里云短信

最新推荐文章于 2021-03-11 04:31:00 发布
最新推荐文章于 2021-03-11 04:31:00 发布
阅读量107 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32289849/article/details/92141019
版权

获取阿里云短信秘钥信息

获取AccessKey

Accesskey

获取签名、模板

在这里插入图片描述
一共需要四个参数:AccessKeyId,AccessKeySecret,Sign,Code

下载SDK,封装自己的类

新版的不会用,用的旧版的,下载旧版SDK,放在libraries目录下,新加个SmsHm类

<?php

/**
 * Created by PhpStorm.
 * User: Administrator
 * Date: 2019/6/15
 * Time: 10:28
 */
ini_set("display_errors", "on");

require_once dirname(__DIR__) . '/libraries/api_sdk/vendor/autoload.php';

use Aliyun\Core\Config;
use Aliyun\Core\Profile\DefaultProfile;
use Aliyun\Core\DefaultAcsClient;
use Aliyun\Api\Sms\Request\V20170525\SendSmsRequest;
use Aliyun\Api\Sms\Request\V20170525\SendBatchSmsRequest;
use Aliyun\Api\Sms\Request\V20170525\QuerySendDetailsRequest;

// 加载区域结点配置
Config::load();

/**
 * Class SmsHm
 *
 * 这是短信服务API产品的DEMO程序,直接执行此文件即可体验短信服务产品API功能
 * (只需要将AK替换成开通了云通信-短信服务产品功能的AK即可)
 * 备注:Demo工程编码采用UTF-8
 * 这里获取config的短信内容
 */
class SmsHm
{
    static $acsClient = null;

    /**
     * 取得AcsClient
     *
     * @return DefaultAcsClient
     */
    public function __construct()
    {

    }

    public static function getAcsClient() {
        $file = FCPATH.'config/sms.php';
        $config = @is_file($file) ? string2array(file_get_contents($file)) : array();
        //产品名称:云通信短信服务API产品,开发者无需替换
        $product = "Dysmsapi";

        //产品域名,开发者无需替换
        $domain = "dysmsapi.aliyuncs.com";

        // TODO 此处需要替换成开发者自己的AK (https://ak-console.aliyun.com/)
        $accessKeyId = $config['AccessKeyId']; // AccessKeyId

        $accessKeySecret = $config['AccessKeySecret']; // AccessKeySecret

        // 暂时不支持多Region
        $region = "cn-hangzhou";

        // 服务结点
        $endPointName = "cn-hangzhou";


        if(static::$acsClient == null) {

            //初始化acsClient,暂不支持region化
            $profile = DefaultProfile::getProfile($region, $accessKeyId, $accessKeySecret);

            // 增加服务结点
            DefaultProfile::addEndpoint($endPointName, $region, $product, $domain);

            // 初始化AcsClient用于发起请求
            static::$acsClient = new DefaultAcsClient($profile);
        }
        return static::$acsClient;
    }

    /**
     * 发送短信
     * @return stdClass
     */
    public static function sendSms($code,$phone) {
        $file = FCPATH.'config/sms.php';
        $config = @is_file($file) ? string2array(file_get_contents($file)) : array();

        // 初始化SendSmsRequest实例用于设置发送短信的参数
        $request = new SendSmsRequest();

        //可选-启用https协议
        //$request->setProtocol("https");

        // 必填,设置短信接收号码
        $request->setPhoneNumbers($phone);

        // 必填,设置签名名称,应严格按"签名名称"填写,请参考: https://dysms.console.aliyun.com/dysms.htm#/develop/sign
        $request->setSignName($config['Sign']);

        // 必填,设置模板CODE,应严格按"模板CODE"填写, 请参考: https://dysms.console.aliyun.com/dysms.htm#/develop/template
        $request->setTemplateCode($config['Code']);


        // 可选,设置模板参数, 假如模板中存在变量需要替换则为必填项
        $request->setTemplateParam(json_encode(array(  // 短信模板中字段的值
            "code"=>$code,
            "product"=>"dsd"
        ), JSON_UNESCAPED_UNICODE));

        // 可选,设置流水号
        $request->setOutId("yourOutId");

        // 选填,上行短信扩展码(扩展码字段控制在7位或以下,无特殊需求用户请忽略此字段)
        $request->setSmsUpExtendCode("1234567");

        // 发起访问请求
        $acsResponse = static::getAcsClient()->getAcsResponse($request);

        return $acsResponse;
    }

    /**
     * 批量发送短信
     * @return stdClass
     */
    public static function sendBatchSms() {

        // 初始化SendSmsRequest实例用于设置发送短信的参数
        $request = new SendBatchSmsRequest();

        //可选-启用https协议
        //$request->setProtocol("https");

        // 必填:待发送手机号。支持JSON格式的批量调用,批量上限为100个手机号码,批量调用相对于单条调用及时性稍有延迟,验证码类型的短信推荐使用单条调用的方式
        $request->setPhoneNumberJson(json_encode(array(
            "1500000000",
            "1500000001",
        ), JSON_UNESCAPED_UNICODE));

        // 必填:短信签名-支持不同的号码发送不同的短信签名
        $request->setSignNameJson(json_encode(array(
            "云通信",
            "云通信"
        ), JSON_UNESCAPED_UNICODE));

        // 必填:短信模板-可在短信控制台中找到
        $request->setTemplateCode("SMS_1000000");

        // 必填:模板中的变量替换JSON串,如模板内容为"亲爱的${name},您的验证码为${code}"时,此处的值为
        // 友情提示:如果JSON中需要带换行符,请参照标准的JSON协议对换行符的要求,比如短信内容中包含\r\n的情况在JSON中需要表示成\\r\\n,否则会导致JSON在服务端解析失败
        $request->setTemplateParamJson(json_encode(array(
            array(
                "name" => "Tom",
                "code" => "123",
            ),
            array(
                "name" => "Jack",
                "code" => "456",
            ),
        ), JSON_UNESCAPED_UNICODE));

        // 可选-上行短信扩展码(扩展码字段控制在7位或以下,无特殊需求用户请忽略此字段)
        // $request->setSmsUpExtendCodeJson("[\"90997\",\"90998\"]");

        // 发起访问请求
        $acsResponse = static::getAcsClient()->getAcsResponse($request);

        return $acsResponse;
    }

    /**
     * 短信发送记录查询
     * @return stdClass
     */
    public static function querySendDetails() {

        // 初始化QuerySendDetailsRequest实例用于设置短信查询的参数
        $request = new QuerySendDetailsRequest();

        //可选-启用https协议
        //$request->setProtocol("https");

        // 必填,短信接收号码
        $request->setPhoneNumber("12345678901");

        // 必填,短信发送日期,格式Ymd,支持近30天记录查询
        $request->setSendDate("20170718");

        // 必填,分页大小
        $request->setPageSize(10);

        // 必填,当前页码
        $request->setCurrentPage(1);

        // 选填,短信发送流水号
        $request->setBizId("yourBizId");

        // 发起访问请求
        $acsResponse = static::getAcsClient()->getAcsResponse($request);

        return $acsResponse;
    }
}

里面的参数用的后台的系统管理里面的短信,讲模板改一下就能用
调用配置文件用下面这样的

$file = FCPATH.'config/sms.php';
$config = @is_file($file) ? string2array(file_get_contents($file)) : array();

修改的admin里面的sms_index.html

<table width="100%" class="table_form">
            <tr class="dr_0">
                <th width="200"><font color="red">*</font>&nbsp;AccessKeyId: </th>
                <td>
                <input class="input-text" type="text" name="data[AccessKeyId]" value="{$data[AccessKeyId]}" size="25" />
                    <div class="onShow">在阿里云开发者中心获取</div>
                    <!--<div class="onShow">
                    <a href="http://i.dayrui.com/index.php?s=sms&c=home&m=index" target="_blank">申请短信接口</a>
					&nbsp;&nbsp;
                    <a href="http://news.dayrui.com/2015/07/239.html" style="color:red" target="_blank">免费领取短信</a>
                        </div>-->
                </td>
            </tr>
            <tr class="dr_0">
                <th><font color="red">*</font>&nbsp;AccessKeySecret: </th>
                <td>
                <input class="input-text" type="text" name="data[AccessKeySecret]" value="{$data[AccessKeySecret]}" size="25" />
                    <div class="onShow"><span id="dr_sms">在阿里云开发者中心获取</span></div>
                </td>
            </tr>
                <tr>
                    <th><font color="red">*</font>签名: </th>
                    <td>
                        <input class="input-text" type="text" name="data[Sign]" value="{$data[Sign]}" size="25" />
                        <div class="onShow">保持在10个字符以内</div>
                    </td>
                </tr>
                <tr>
                    <th><font color="red">*</font>模板CODE: </th>
                    <td>
                        <input class="input-text" type="text" name="data[Code]" value="{$data[Code]}" size="25" />
                        <div class="onShow">例如:SMS_0000001</div>
                    </td>
                </tr>
            <tr>
                <th style="border:none;">&nbsp;</th>
                <td><input class="btn btn-success btn-sm" type="submit" name="submit" value="{lang('submit')}" /></td>
            </tr>
            </table>

调用 短信验证码

在admin的Login控制器里面定义一个发送验证码方法

/**
	 * 发送验证码
	 */
	public function sendSmsAction(){
		session_start();
		$phone = $this->input->post('phone');
		$this->load->library('SmsHm');
		$code = rand(1000,9999);
		$response = SmsHm::sendSms($code,$phone);
		if($response->Message == "OK"){
			//验证码发送成功,吧验证码存到session里面,到时候进行判断
			$_SESSION['sms_code'] = $code;
			echo 1;die;
		}
		echo 0;die;
	}

在登录方法里面做用户登录处理 这里的登录场景是短信验证码登录注册,如果是第一次就注册之后登录,不是第一次就直接登录,没有账号密码

if ($this->isPostForm()) {
   $data = $this->post('data');
	//先判断验证码正不正确
	if($data['code'] != $_SESSION['sms_code']){
		$this->memberMsg(lang('m-log-1'));
	}
	$backurl = $data['back'] ? urldecode($data['back']) : url('index/');
	/*再看有没有这个手机号,没有就是注册,有的话就是登录*/
	$member = $this->db->where('username',$data['username'])->get('member')->row_array();
	$time = empty($data['cookie']) ? 24*3600 : 360*24*3600; //会话保存时间。
	if(empty($member)){
		//插入表操作
		$uid  = $this->reg($data);
		if (empty($uid)) $this->memberMsg(lang('m-reg-2'));
		$member = $this->db->where('id',$uid)->get('member')->row_array();
	}
	$this->update_login_info($member);
	set_cookie('member_id', $member['id'], $time);
	set_cookie('member_code', substr(md5(SITE_MEMBER_COOKIE . $member['id']), 5, 20), $time);
	$this->memberMsg(lang('m-log-4'), $backurl, 1);
}

前台页面主要做个倒计时
js如下

 $("#getcode").click(btnCheck);
    /**
     * [btnCheck 按钮倒计时常用于获取手机短信验证码]
     */
    function btnCheck() {
        var phone = $('#phone').val();
        if(phone.length != 11){
            alert('请填写正确的手机号码!');
            return false;
        }
        $(this).addClass("on");
        var time = 60;
        $(this).attr("disabled", true);
        var timer = setInterval(function() {
            if (time == 0) {
                clearInterval(timer);
                $("#getcode").attr("disabled", false);
                $("#getcode").val("获取验证码");
                $("#getcode").removeClass("on");
            } else {
                $('#getcode').val(time + "秒");
                time--;
            }
        }, 1000);
        $.post("{url('member/Login/sendSms')}",{phone:phone},function(res){
            console.log(res);
            if(res != 1){
                alert('短信验证码发送失败,请稍后再试!');
            }
        });



    }

功能是实现了,代码略丑,希望改进

节节竹
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
finecms aip.php漏洞,代码审计| FineCMS的GetShell姿势
weixin_42311115的博客
03-11 383
0x00 背景上周,发现了finecms的一些后台的洞,斗哥先从配置文件写入开始分析,然后再结合本篇的存储XSS进行GetShell,本篇分析下存储XSS的问题,最终通过这两类洞的组合利用GetShell,期待与师傅们的交流讨论。0x01 审计过程0x00 相关环境源码息:FineCMS v5.3.0 bulid 20180206问题文件: \finecms\finecms\system\cor...
fineCMS插件_企业cms接口开发_内容管理系统发送设置
01-13
fineCMS插件_企业cms接口开发_内容管理系统发送设置
finecms aip.php漏洞,FineCMS漏洞挖掘
weixin_32494599的博客
03-11 509
0x00 背景最近在挖掘FineCMS源码的漏洞,发现了一些有趣的洞,斗哥计划先从配置文件写入开始分析,然后再结合存储XSS进行GetShell,本篇先分析配置文件写入的问题,下周再分析存储XSS的问题,最终通过这两类洞的组合利用GetShell,大体思路流程很简单,但是代码分析中有蛮多技巧,期待与师傅们的交流讨论。0x01 漏洞审计1x00 相关环境源码息:FineCMS v5.3.0 bul...
finecms
aibuai1005的专栏
01-06 76
如果模型一样,却只是单页面可用loop标签解决 列表不需要跳转用list表现的join来解决 可以通过core\lib\pagelist.class.php修改分页样式 转载于:https://www.cnblogs.com/lovesg/p/5106334.html...
finecms基础操作
taogeboke的博客
11-10 2756
1.栏目创建 模板设置 没有子类进入列表首页 有子类进入列表页 内容页直接{$..}调用数据 其他页要使用list等语法 >list标签 {list action=cache name=module} 获取全部模块数据 {list action=content} 获取内容详
finecms aip.php漏洞,通杀FineCMS5.0.8及版本以下getshell的漏洞
weixin_32943857的博客
03-11 532
前言跟着上次的finecms,在漏洞时代又找了一个漏洞来审计。但是他改了函数里面的传参,我也弄了一阵子才搞明白这个传参原来需要加密过的参数,还有就是这个远程下载再上传,有个小问题,那篇文章没有说明,等下再系统说下。漏洞详情代码位置和代码位置\finecms\dayrui\controllers\member\Api.php代码public function down_file() {$p = ar...
关于FineCMS伪静态的一些问题
IT羊的博客
02-25 1297
做企业站FineCMS是款不错的CMS,今天在做一个客户站的时候发现一个问题比较烦人,客户在分享文章到朋友圈的时候,发现不管分享什么页打开都自动跳转到首页,百思不得其解,百度了下,微分享url的时候会在结尾加上http://www.ityang.com/?from=timeline&isappinstalled=0 这种url的后缀。仔细想下,这个站启用了伪静态,测试了下,果然只要url里面有?任
finecms aip.php漏洞,通杀FineCMS5.0.8及版本以下getshell漏洞的
weixin_39600400的博客
03-11 270
在文件finecms/dayrui/controllers/member/Api.php里面有一个down_file函数.可以从远程下载文件到本地服务器.public function down_file() {$p = array();$url = explode('&', $this->input->post('url'));//经过& 分割foreach ($ur...
finecms aip.php漏洞,Finecms 2 /models/search_model.php SQL注入漏洞
weixin_36337502的博客
03-11 376
"""If you have issues about development, please read:https://github.com/knownsec/pocsuite3/blob/master/docs/CODING.mdfor more about information, plz visit http://pocsuite.org"""from pocsuite3.api impo...
finecms aip.php漏洞,finecms 最新版v2.3.3前台getshell
weixin_39822184的博客
03-11 155
还是头像上传的地方,官方认为自己已经修复的很干净了,在我看来还是一点用处都没有。不过demo站直接把头像上传的功能给阉割了,正常头像都没法上传了,所以我就不在demo上测试了,下载最新的v2.3.3,本地测试。版本号:看到头像上传的代码:[php]public function upload() {if (!isset($GLOBALS['HTTP_RAW_POST_DATA'])) {exit(...
FineCMS公益版整合2.2和5.0.8
07-06
最新的整合版本,2系列的最终版是2.2
FineCMS公益版 v2.0.1
12-01
FineCMS公益版(简称版或公益版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,面向多终端包括Pc端网页和移动端网页,支持自定义内容模型和会员模型,并且可
FineCMS v5.0.4
11-30
FineCMS(简称版或公益版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,面向多终端包括Pc端网页和移动端网页,支持自定义内容模型和会员模型,并且可以自定
FineCMS v5.0.10
11-29
FineCMS(简称版或公益版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,面向多终端包括Pc端网页和移动端网页,支持自定义内容模型和会员模型,并且可以自定
Thinkphp使用Authorize.Net实现VISA用卡支付
节节竹的博客
10-08 2284
官方网站:https://developer.authorize.net/ 开发者文档:https://developer.authorize.net/api/reference/index.html 一、注册沙箱账号进行调试 注册成功之后会弹出你的沙箱账号息 API LOGIN ID 48h4xxxxxePS TRANSACTION KEY 4S9xxxxxxxxxx8Aq KEY Simon 其中 API LOGIN ID 跟 TRANSACTION KEY 是需要程序使用的,保存下来 如果秘钥忘记
dedecms二次开发知识点
节节竹的博客
09-15 932
前端功能开发: 1、文件前面都要加载公共函数: require_once(dirname(__FILE__)."/../include/common.inc.php"); 2、php文件在plus里面,开发是面向过程,$action是方法参数,可以用switch来判断。如: $action 是自动获取的url中的action参数 switch($action){ case 'index'...
Finecms基础操作手册
节节竹的博客
06-29 777
{$meta_title} //关键词 {$meta_keywords} {$meta_description} {SITE_THEME} {template header.html} {SITE_URL} //网站地址 {SITE_PATH} //首页地址 {$SITE_ICP} <!-- 调用父栏目 --> {php $Pcat = getParentData($catid...
Thinkcmf5.1 windows 环境下使用workerman
节节竹的博客
09-24 668
要求 要有composer环境,安装都通过composer的方式 安装环境 使用composer安装以下两个包,顺序安装 composer require topthink/think-worker=2.0.* composer require workerman/workerman-for-win 安装成功后 vendor目录下会有workerman目录。 删除vendor\workerman\workerman文件夹 创建workerman文件 创建 push\controller\WorkerCon
finecms逻辑漏洞
最新发布
06-06
FineCMS是一款开源的内容管理系统,它的逻辑漏洞可能会导致安全问题。以下是FineCMS常见的逻辑漏洞: 1.未经身份验证的访问:FineCMS的某些页面没有进行身份验证,可能会通过直接访问URL来绕过身份验证机制,获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值