Discuz登陆验证Cookie机制分析.docVIP

Discuz!登陆验证Cookie机制分析 在构建我的vita系统的过程中,发现管理员管理的便捷与系统安全隐患之间的矛盾全站采用cookie验证,比如wordpress的验证就是基于cookie的,由于cookie的明文传输在局域网内极易被截获,或者这个vita在我不发骚的情况下存在了XSS漏洞的话,cookie被人截获,在这种情况下,等于站点被人xxx了 另一种情况就是利用session来进行管理员身份的认证,但是由于php天生对于session的处理机制的问题,不能长时间保存,利用数据库构建的session系统开销太大,在这种情况下,我就只好先研究先下大家是怎么做的 于是分析了Discuz!的登陆验证机制 每个Discuz!论坛都有一个特定的authkey也就是Discuz!程序中的$_DCACHE[settings][authkey]并且与用户的浏览器特征值HTTP_USER_AGENT一起组成了discuz_auth_key这个变量如下代码:commone.inc.php文件大概130行左右 $discuz_auth_key = md5($_DCACHE[settings][authkey].$_SERVER[HTTP_USER_AGENT]); 在Discuz!论坛用户登陆以后会有一个cookie,名称为cdb_auth(cdb_是你站点的名称,可以设置不能在config.inc.php 文件中设置),Discuz!论坛就靠这个来判断一个用户是否是登陆状态,在分析这个值的内容之前,我们看下他是如何生成的 list($discuz_pw, $discuz_secques, $discuz_uid) = empty($_DCOOKIE[auth]) ? array(, , 0) : daddslashes(explode(\t, authcode($_DCOOKIE[auth], DECODE)), 1); 解释一下,获得的客户端的cookie经过Discuz!的函数authcode解密以后会得到用户输入的用户名,密码,在authcode函数中会用到刚刚提到的$discuz_auth_key这个值,在不知道$discuz_auth_key的情况下,基本上靠cookie里的值反解出用户名密码的几率为0,同样的,在生成cdb_auth就是相逆的一个流程,先获得用户输入的用户名,密码,在验证正确之后,用authcode加密,写入 cookie,很简单吧 以上就是Discuz!普通用户的登陆验证过程,写的不是很详细,大概能看明白就行 ? ? 站一直以来用firefox浏览ajax的功能都有问题，报错是：“XML解析错误：xml处理指令不在实体的开始部分 ”。 这是由于discuz返回的xml在最开始的地方有一个空行，IE解释没问题，但是firefox把空行作为一个节点，造成解释出错。 找了很久都不知道哪里来的空行，经过排查发现是include头文件产生的： require_once ./include/common.inc.php; ? 我也很难知道是common.inc.php文件哪里产生的空行，因此我加了两行代码屏蔽了这个文件的输出： ob_start();require_once ./include/common.inc.php;ob_end_clean(); ? 问题解决。