discuz登录密码怎么验证

在构建我的vita系统的过程中,发现管理员管理的便捷与系统安全隐患之间的矛盾

全站采用cookie验证,比如wordpress的验证就是基于cookie的,由于cookie的明文传输

在局域网内极易被截获,或者这个vita在我不发骚的情况下存在了XSS漏洞的话,cookie被人截获,

在这种情况下,等于站点被人xxx了

另一种情况就是利用session来进行管理员身份的认证,但是由于php天生对于session的处理机制的问题,不能长时间保存,利用数据库构建的session系统开销太大,在这种情况下,我就只好先研究先下大家是怎么做的

于是分析了Discuz!的登陆验证机制

每个Discuz!论坛都有一个特定的authkey也就是Discuz!程序中的$_DCACHE['settings']['authkey']并且与用户的浏览器特征值HTTP_USER_AGENT一起组成了discuz_auth_key这个变量如下代码:

commoneincphp文件大概130行左右

$discuz_auth_key = md5($_DCACHE['settings']['authkey']$_SERVER['HTTP_USER_AGENT']);

在Discuz!论坛用户登陆以后会有一个cookie,名称为cdb_auth(cdb_是你站点的名称,可以设置不能在configincphp 文件中设置),Discuz!论坛就靠这个来判断一个用户是否是登陆状态,在分析这个值的内容之前,我们看下他是如何生成的

list($discuz_pw, $discuz_secques, $discuz_uid) = empty($_DCOOKIE['auth']) array('', '', 0) : daddslashes(explode("\t", authcode($_DCOOKIE['auth'], 'DECODE')), 1);

解释一下,获得的客户端的cookie经过Discuz!的函数authcode解密以后会得到用户输入的用户名,密码,在authcode函数中 会用到刚刚提到的$discuz_auth_key这个值,在不知道$discuz_auth_key的情况下,基本上靠cookie里的值反解出用户名 密码的几率为0,同样的,在生成cdb_auth就是相逆的一个流程,先获得用户输入的用户名,密码,在验证正确之后,用authcode加密,写入 cookie,很简单吧

以上就是Discuz!普通用户的登陆验证过程,写的不是很详细,大概能看明白就行

比如背景,字体等等 您可以使用 Discuz! 代码--一个 HTML 代码的简化版本，来简化对贴子显示格式的控制。Discuz!代码原理过程是将特定的代码转换成html代码，比如[b][/b]是字体加粗代码，在显示的时候是处理成html的，其实是很简单的。

1、进入后台，首先我们点击“系统工具”－＞“JS 调用设置”，先点击其中的“基本设置”。先开启 JS 调用功能

2、再点击其中的“调用项目设置”

主题列表：在这里可以配合不同的参数调用到你论坛的所有主题文章，用在不同的位置，如主题推荐、公告文章、热点文章、最新主题、最新回复等等

版块列表：在这里你可以调用到你论坛的版块列表，如果你想在自己的页面中再次显示你自己论坛的版块结构的话，这个调用就用的到了

会员排行：通过这个调用，你可以轻松的对您论坛的会员制作一个简单的排行榜，可以按照各种方式进行排行哦

论坛统计：这个统计适合放置在论坛的首页，可以随时让用户自己论坛的发展情况

附件调用：这个调用会寻找所有带附件的主题，取出其中的一张作为这个主题的标志显示出来，提高主题的点击率

自定义：在自定义类型实际上十一个以上所有 JS 调用类型的聚合，你可以做 n 个以上所涉及的调用，通过这个自定义类型组合成一个，就像搭积木一样。这样正式用的时候只需调用这自定义类型的调用设置即可啦！

$_key{0} ：key的第一个元素。

$$是可变变量。例：$a=b，则 $$a=$b。

这几行代码的意思是遍历通过COOKIE, POST, GET方法提交的变量。

$_key{0} != '_' && $$_key = daddslashes($_value);这句意思是第一个key的值不为“_”则执行第二句代码对key进行daddsalshes方法处理。daddslashes（）是对$_value进行转义。

Discuz代码即Discuz!代码，也是所讲的UBB代码，是一种内置的代码，Discuz!论坛中发帖子，设置签名等等的使用代码，和我们平时使用的语言不一样，里面代码在提取时会自动转成HTML语言，显示出网页上的各种效果。