看Discuz的登陆验证方法

最新推荐文章于 2021-05-28 10:08:49 发布
最新推荐文章于 2021-05-28 10:08:49 发布
阅读量2.5k 收藏
点赞数
分类专栏: PHP 文章标签: 解密 server 加密 list user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yafeikf/article/details/2435096
版权
// commone.inc.php文件大概130行左右
$discuz_auth_key   =   md5 ( $_DCACHE [ ' settings ' ][ ' authkey ' ] . $_SERVER [ ' HTTP_USER_AGENT ' ]);
list ( $discuz_pw ,   $discuz_secques ,   $discuz_uid =   empty ( $_DCOOKIE [ ' auth ' ])  ?   array ( '' ,   '' ,   0 :  daddslashes( explode ( " " ,  authcode( $_DCOOKIE [ ' auth ' ] ,   ' DECODE ' )) ,   1 );
获得的客户端的cookie经过Discuz!的函数authcode解密以后会得到用户输入的用户名,密码,在authcode函数中会用到刚刚提到的$discuz_auth_key这个值,在不知道$discuz_auth_key的情况下,基本上靠cookie里的值反解出用户名密码的几率为0,同样的,在生成cdb_auth就是相逆的一个流程,先获得用户输入的用户名,密码,在验证正确之后,用authcode加密,写入cookie。
cevin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Discuz!登陆验证Cookie机制分析
高森的专栏
01-13 886
在构建我的vita系统的过程中,发现管理员管理的便捷与系统安全隐患之间的矛盾全站采用cookie验证,比如wordpress的验证就是基于cookie的,由于cookie的明文传输在局域网内极易被截获,或者这个vita在我不发骚的情况下存在了XSS漏洞的话,cookie被人截获,在这种情况下,等于站点被人xxx了 phperz~com 另一种情况就是利用session来进行管理员身份的认证,但
discuz二次开发登录验证原理
09-25
discuz二次开发之登录验证原理,轻松获取客户端cookie
Discuz论坛POST登陆易语言源码-易语言
06-13
Discuz论坛POST登陆易语言源码
Discuz论坛登录验证分析
12-02
Discuz论坛登录验证分析,值得学习,谁看谁知道
Discuz用户登录的验证,正好用到,就放着。
葉落堂
06-22 1777
考完试了,心里并不轻松,不安那。现在呢,放假,就帮着弄弄网站。刚好说到discuz登录验证的,顺便记录下,呵呵,很菜的。。// 读取discuz用户的信息 by 落叶require_once ./include/common.inc.php;echo $discuz_uid."";echo $discuz_userss."";?>
Discuz! 判断用户输入的密码是否正确
zeros
02-11 355
用户密码储存在ucenter_members数据表中的password字段, 这个字段储存的密码并非真实密码,而是经过两次md5加密过的,加密方式为: md5(md5($password).$salt) password是用户输入的真实密码,salt是一个固定的值每个账号的值都不一样,salt储存在ucenter_members数据表中的salt字段。 只要将用户输入的密码经上述的加密方式进行加密,然后和ucenter_members中储存的password进行对比,如果相等即输入正确。 ...
discuz登录验证
04-18
discuz登录验证
discuz免激活同步登入代码修改方法(discuz同步登录)
10-26
标题中的“discuz免激活同步登入代码修改方法”是指在Discuz论坛系统中,通过修改特定的代码实现用户无需激活账号就能直接进行同步登录的方法。这个方法主要适用于Discuz! X3版本,理论上也适用于Discuz! X2.5版本。...
手机短信验证插件 for Discuz!7.0.zip
07-14
可以整站打开或关闭手机短信验证功能,也可单独设置以下功能限制:只有通过手机短信验证用户才能发帖;只有通过手机短信验证用户才能回帖;只有通过手机短信验证用户才能使用站内信。 安装方法: 覆盖上传...
Discuz! X3.2 手机验证注册功能的实现
12-23
Discuz! X3.2 手机验证注册,实现用手机号验证注册
Discuz 用户多次登录失败 要求填写验证
Zsd
11-04 5193
目标 现在几乎所有的网站都会有验证码功能,有些是图文的,有些是填字符。在某个网站上看到过类似的功能,就想做一个。现在公司最近要求使用Discuz没办法,准备研究它的错误登录三次,就会要求等待15分钟时间的功能,并尝试修改它。 分析Discuz第一步分析discuz 登录入口 member.php 文件 登录的地址为:member.php?mod=logging&action=login& log
Discuz!教程之设置游客看小图、登录/注册后可看大图的方法
热门推荐
土著人宁巴的Discuz!专栏
09-21 1万+
后台>界面>界面设置>帖子内容页 游客看小图,选择是,然后设置小图大小,提交,完成!
discuz java单点登录,Discuz!论坛集成Windows AD实现SSO功能
weixin_31955599的博客
03-18 414
Discuz论坛和其他系统之间,能够实现以下目标:1、 其他系统侧,调用Discuz提供的接口,可以登录Discuz论坛,并根据用户来访问Discuz的内容。2、Discuz论坛系统与其他系统之间的服务调用要求有安全验证机制。3、Discuz论坛系统与其他系统之间的数据交互,以HTTP+JSON,所有交互数据采用URF-8编码。登录流程描述:登录接口说明:1、获取令牌值接口http://127.0...
解密 discuz 登陆产生的_auth信息cookie
lihuang319的专栏
07-11 1815
等我们登陆discuz的时候,势必会产生cookie信息。下面我们去解开discuz登陆的_auth信息 1、在我们自己的主网站上面先打印出来所有的cookie 2、我们发现会有好几个信息,然后我们找到*****_auth 以及******_saltkey 类似于这种的,因为前缀是根据不同的网站生成出来的。 3、然后我们去解密: 首先包含ucenter文件: Yii::import...
php discuz 顶,discuz模拟登录实现自动顶帖php程序_PHP教程
weixin_35208293的博客
03-10 381
在php 模仿登录我们需要使用curl_init函数,下面我来介绍利用 curl 模拟 post 登录discuz论坛并且实现自动顶帖功能。其实模拟登录就那点事,无法就是获得相应的参数,然后模拟发送,把获得的COOKIE 带入下一步操作中去discuzx 系列为防止灌水,一直在用 formhash() 这个函数:1、下面来看下formhash 这个函数:代码如下复制代码function formh...
Discuz密码 加密方式
多年以后,我们在哪里。。
04-08 3223
Discuz密码的加密采用的是`md5(md5(password).salt)`这样一种方式。其中salt是一个随机的6位字符串,保存在ucenter_members表中。该表和common_member表中都存有password字段,需要注意的是,这两个表中的password字段的值是不一样的,用户在做登录的时候,实际上判断的是ucenter_members表中的密码字段,common_membe
discuz论坛手机短信验证码登录和企业微信登录源码
tiger_web0的博客
05-28 1149
根据项目需求需要对discuz!3.4版本进行升级短信验证码登录和企业微信内容部绑定登录进行二次开发。 大概看了下官方手册,但是不太完善,基本都是介绍字段和数据字典说明。搜了一圈也没找到一个合适的开发手册。只好自己分析吧应该也不太难。 首先到登录页面查看登录地址,并根据地址查找想对应的程序处理文件,不断设定短点,日志进行分析…… 1、首先discuz登录处理机制看下涉及的文件 如下: 入口文件路径:/source/module/member/member_logging.php if(!defined('I
discuz update方法
最新发布
05-17
Discuz的升级方法如下: 1.备份数据:在升级前,一定要备份好数据库和文件,以防意外发生。 2.下载新版本:到Discuz官网下载最新版本的程序压缩包。 3.解压压缩包:将下载的压缩包解压到本地。 4.上传文件:使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值