使用discuz加密函数authcode对cookie进行加密

最新推荐文章于 2023-05-30 09:45:00 发布
最新推荐文章于 2023-05-30 09:45:00 发布
阅读量182 收藏
点赞数
文章标签: php
原文链接:https://my.oschina.net/cqqqqq/blog/725978
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

项目里涉及到用户登录的部分,需要存在到cookie,比如用户的id,用户的账号,我都是直接把数据存储进cookie,只要用户修改了cookie的user_id就可以登录别人的账号,显然这是很不安全的。
discuz是现在最流行的php开源论坛系统,项目的论坛就是使用discuz,discuz对cookie使用authcode方法进行加密,它是康盛开发的一个使用异或运算进行加密和解密的函数

function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
    $ckey_length = 4;

    $key = md5($key ? $key : UC_KEY);
    $keya = md5(substr($key, 0, 16));
    $keyb = md5(substr($key, 16, 16));
    $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';

    $cryptkey = $keya.md5($keya.$keyc);
    $key_length = strlen($cryptkey);

    $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
    $string_length = strlen($string);

    $result = '';
    $box = range(0, 255);

    $rndkey = array();
    for($i = 0; $i <= 255; $i++) {
        $rndkey[$i] = ord($cryptkey[$i % $key_length]);
    }

    for($j = $i = 0; $i < 256; $i++) {
        $j = ($j + $box[$i] + $rndkey[$i]) % 256;
        $tmp = $box[$i];
        $box[$i] = $box[$j];
        $box[$j] = $tmp;
    }

    for($a = $j = $i = 0; $i < $string_length; $i++) {
        $a = ($a + 1) % 256;
        $j = ($j + $box[$a]) % 256;
        $tmp = $box[$a];
        $box[$a] = $box[$j];
        $box[$j] = $tmp;
        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
    }

    if($operation == 'DECODE') {
        if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
            return substr($result, 26);
        } else {
            return '';
        }
    } else {
        return $keyc.str_replace('=', '', base64_encode($result));
    }

}

在父类控制器中对用户的cookie操作进行封装

/**
     * 获取用户id
     * @return int
     */
    protected function getCookieUserId()
    {
        return isset($_COOKIE[self::COOKIE_USER_ID]) ? authcode($_COOKIE[self::COOKIE_USER_ID],'DECODE',self::COOKIE_SECRET_KEY) : 0;
    }

    /**
     * 设置用户id
     * @param $user_id
     */
    protected function setCookieUserId($user_id)
    {
        cookie(self::COOKIE_USER_ID, authcode($user_id,'ENCODE',self::COOKIE_SECRET_KEY), self::COOKIE_EXPIRE_TIME); // 指定cookie保存时间 一个月
    }

user_id =4加密后的效果是8265K2O0FITEGdltNAqLyHfBm1Zlj6OAn+IhND04

这样就很安全啦

转载于:https://my.oschina.net/cqqqqq/blog/725978

weixin_34087503
关注
解析discuz authcode(加,解密函数)
phphot
01-07 2653
这两天心血来潮,研究下discuz 5.0,看到authcode时,在网上没有找到相关的解析,如是把自己的见解写下来,如有错误,欢迎指教。转载请注:来自http://hi.baidu.com/studyphpfunction authcode ($string, $operation, $key = ) {#string 为需加、解密字符串#operation DECODE时解密$key =
discuz authcode 经典php加密解密函数解析
10-29
康盛的 authcode 函数可以说对中国的PHP界作出了重大贡献。包括康盛自己的产品,以及大部分中国使用PHP的公司都用这个函数进行加密authcode使用异或运算进行加密和解密。
discuzcookie加密
continue my dream
09-01 7983
一:Discuz!登陆验证Cookie机制分析 在构建登录验证的过程中,发现管理员管理的便捷与系统安全隐患之间的矛盾.全站采用cookie验证,比如wordpress的验证就是基于cookie的,由于cookie的明文传输,在局域网内极易被截获,或者这个vita在我不发骚的情况下存在了XSS漏洞的话,cookie被人截获,在这种情况下,等于站点被人xxoo了;另一种情况就是利用session来进
discuz 经典php加密解密函数 authcode 解析
Willko's Blog
02-08 407
康盛的 authcode 函数可以说对中国的PHP界作出了重大贡献。包括康盛自己的产品,以及大部分中国使用PHP的公司都用这个函数进行加密authcode使用异或运算进行加密和解密。 原理如下,假如: 加密 明文:1010 1001 密匙:1110 0011 密文:0100 1010 得出密文0100 1010,解密之需和密匙异或下就可以了 解密 密文:0100 10...
互联网开发之神器:经典加解密函数Discuz authcode
weixin_45727359的博客
07-25 582
肉眼品世界导读:互联网开发里有一个很重要的业务,就是数据的安全性,而有的数据真正处理的时候又需要明文出现,那么安全的加解密就是一个非常重要的常见场景了,api 的token,关键数据的加...
Discuz加密与解密函数authcode
dabao1989的专栏
10-11 1094
Discuz加密与解密函数authcode 分类:Discuz| 浏览:705 分享到:0       authcode()并不是PHP的内置函数,它是康盛开发的一个使用异或运算进行加密和解密的函数,可以说这是康盛对中国的PHP界作出的重大贡献。康盛自己的产品如Discuz,UCenter等以及许多使用PHP的中国公司都用这个函数进行加密。在前面的
关于DISCUZ不用通行证登陆得内容介绍第1/2页
10-30
根据给定文件信息,知识点介绍如下: ...同时,文档也提示了在复制和使用Discuz源码时需要注意的一些关键细节,如Cookie加密Key的一致性。此外,还强调了在处理OCR文档时,需要具备一定的校正能力来提升信息的可读性。
Discuz 自动同步登陆的完美解决办法
09-28
`_authcode`函数用于对字符串进行加密或解密,这是安全传输用户身份信息的关键步骤。它使用了MD5算法,并结合了自定义密钥和时间戳,以防止数据被篡改。 4. **session与Cookie的交互**:自动登录需要处理好主系统与...
discuz登录验证
04-18
7. **生成验证字符串**:通过`authcode()`函数将用户的密码、验证码以及`uid`进行编码,生成最终的验证字符串。 8. **设置cookie**:将生成的验证字符串设置为`DTv_auth`的值,并将其保存到客户端的cookie中。 ####...
基于Discuz security.inc.php代码的深入分析
10-27
通过`authcode`函数对时间戳进行加密处理,并在每次用户发起请求时更新cookie的值。如果用户在设定的时间间隔内再次请求(例如1秒内),将通过`securitymessage`函数显示安全提示消息。 ```php $_DCOOKIE['...
discuzX3.2 登录接口 通过url传值 保存cookie
09-02
discuzX3.2登录接口 通过url传值username和password 保存cookie
C#版本的discuz authcode函数
记事本
07-27 3522
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Text; namespace API.Common { public enum DiscuzAuthcodeMode { Encode, Decode }; /// ///
discuz加密解密函数authcode
weixin_33975951的博客
08-06 112
原文转载自:http://zzjnet.blog.51cto.com/323001/318242 康盛的authcode函数可以说对中国的PHP界作出了重大贡献。包括康盛自己的产品,以及大部分中国使用PHP的公司都用这个函数进行加密authcode使用异或运算进行加密和解密。 原理如下,假如: 加密 明文:1010 1001 密匙:1110 0011 密...
Discuz经典函数注释之authcode
05-29 1265
Discuz函数中最经典的函数authcode函数,因为supesite,UCenterHome,UCenter,DiscuzX都使用了这个函数进行加密啊传输串与cookie   今天为大家带来authcode的详解,如果写的不好,请大家拍砖。喜欢的可以学习参考了!   1。/*   2。*   3。*函数作用:通过一个固定的密钥,对一个字符串进行加密解密,加密后的字符串是随机的
【蓝桥杯算法题】经典加解密函数Discuz authcode
最新发布
smallfatman的博客
05-30 178
【代码】【蓝桥杯算法题】经典加解密函数Discuz authcode
Discuz!登陆验证Cookie机制分析
huibiaoli的专栏
12-23 915
全站采用cookie验证,比如wordpress的验证就是基于cookie的,由于cookie的明文传输在局域网内极易被截获,或者这个vita在我不发骚的情况下存在了XSS漏洞的话,cookie被人截获,在这种情况下,等于站点被人xxx了另一种情况就是利用session来进行管理员身份的认证,但是由于php天生对于session的处理机制的问题,不能长时间保存,利用数据库构建的session系统开
工作记录:DiscuzX中uc_authcode函数js版本,配合java双向加密解密
shuiguang的专栏
12-22 2476
上周准备写一个js版的uc_authcode函数,根据网上整理的资料:http://bbs.csdn.net/topics/390310377?page=1中Frogant的源码(纯JS版)进行相关测试,同时引入了md5.js和base64.js库。测试结果的准确率不到一半,于是根据DX中的uc_authcode源码进行跟踪调试,发现问题出在base64的编码上,并对IE浏览器进行了兼容。
Discuz登录验证流程详解:加密与安全策略
`auth`值由`authcode`函数生成,涉及用户密码、随机问题答案(`discuz_secques`)、用户ID(`discuz_uid`),以及HTTP_USER_AGENT(用于防止恶意攻击)。 3. **缓存与设置**: `cache_settings.php`文件中的`authkey...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值