如何在页面中调用discuz的cookie和验证码 - 技术问答如题 谢谢了
原帖由 于 2009-3-17 22:20 发表 [i][/url]在APHP中加入include(\"include/commonincphp\")然后判断$discuz_uid此值大于0即为已登陆,且是登陆者的ID,$discuz_user返回登陆者的名字 [/b]貌似不行,我在aphp的代码输出错误[php][/php] 查看原帖>>
这种情况一般是 有些插件的计划任务不执行导致的。
解决办法:
到后台-工具-计划任务查看一下,一般插件的计划任务都是在第一个,官方内置的计划任务都是cron_开头的。
找到这个计划任务。如果可以删除的话,直接删除即可。
如果删除不了的话。查看该插件是否未开启或者已删除,直接到数据库找到pre_common_cron这个表删除这个计划任务。
以上办法都无法解决可以考虑重置这个表pre_common_cron,到数据库执行如下字段即可。
DROP TABLE IF EXISTS pre_common_cron;
CREATE TABLE `pre_common_cron` (
`cronid` smallint(6) unsigned NOT NULL auto_increment,
`available` tinyint(1) NOT NULL default '0',
`type` enum('user','system','plugin') NOT NULL default 'user',
`name` char(50) NOT NULL default '',
`filename` char(50) NOT NULL default '',
`lastrun` int(10) unsigned NOT NULL default '0',
`nextrun` int(10) unsigned NOT NULL default '0',
`weekday` tinyint(1) NOT NULL default '0',
`day` tinyint(2) NOT NULL default '0',
`hour` tinyint(2) NOT NULL default '0',
`minute` char(36) NOT NULL default '',
PRIMARY KEY (`cronid`),
KEY `nextrun` (`available`,`nextrun`)
) ENGINE=MyISAM DEFAULT CHARSET=gbk AUTO_INCREMENT=22 ;
INSERT INTO `pre_common_cron` (`cronid`, `available`, `type`, `name`, `filename`, `lastrun`, `nextrun`, `weekday`, `day`, `hour`, `minute`) VALUES
(1, 1, 'system', '清空今日发帖数', 'cron_todaypost_dailyphp', 1416342963, 1416412800, -1, -1, 0, '0'),
(2, 1, 'system', '清空本月在线时间', 'cron_onlinetime_monthlyphp', 1414791807, 1417363200, -1, 1, 0, '0'),
(3, 1, 'system', '每日数据清理', 'cron_cleanup_dailyphp', 1416357390, 1416432600, -1, -1, 5, '30'),
(5, 1, 'system', '每日公告清理', 'cron_announcement_dailyphp', 1416346616, 1416412800, -1, -1, 0, '0'),
(6, 1, 'system', '限时操作清理', 'cron_threadexpiry_hourlyphp', 1416357391, 1416358800, -1, -1, -1, '0'),
(7, 1, 'system', '论坛推广清理', 'cron_promotion_hourlyphp', 1416347376, 1416412800, -1, -1, 0, '00'),
(8, 1, 'system', '每月主题清理', 'cron_cleanup_monthlyphp', 1414860761, 1417384800, -1, 1, 6, '00'),
(9, 1, 'system', '道具自动补货', 'cron_magic_dailyphp', 1416347946, 1416412800, -1, -1, 0, '0'),
(10, 1, 'system', '每日验证问答更新', 'cron_secqaa_dailyphp', 1416357391, 1416434400, -1, -1, 6, '0'),
(11, 1, 'system', '每日标签更新', 'cron_tag_dailyphp', 1416347946, 1416412800, -1, -1, 0, '0'),
(12, 1, 'system', '每日勋章更新', 'cron_medal_dailyphp', 1416347947, 1416412800, -1, -1, 0, '0'),
(13, 1, 'system', '清理过期动态', 'cron_cleanfeedphp', 1416347948, 1416412800, -1, -1, 0, '0'),
(14, 1, 'system', '每日获取安全补丁', 'cron_checkpatch_dailyphp', 1416353617, 1416421320, -1, -1, 2, '22'),
(15, 1, 'system', '定时发布主题', 'cron_publish_halfhourlyphp', 1416357391, 1416358800, -1, -1, -1, '0 30'),
(16, 1, 'system', '每周广播归档', 'cron_follow_dailyphp', 1416350694, 1416420000, -1, -1, 2, '0'),
(17, 1, 'system', '更新每日查看数', 'cron_todayviews_dailyphp', 1416357389, 1416423600, -1, -1, 3, '0 5 10 15 20 25 30 35 40 45 50 55'),
(18, 0, 'system', '每日用户表优化', 'cron_member_optimize_dailyphp', 1377225651, 0, -1, -1, 2, '0 5 10 15 20 25 30 35 40 45 50 55'),
(19, 0, 'user', '防水墙每日优化', 'cron_security_dailyphp', 1416351485, 1416420000, -1, -1, 2, '0'),
(20, 1, 'system', '统计今日热帖', 'cron_todayheats_dailyphp', 1416348808, 1416412800, -1, -1, 0, '0'),
(21, 0, 'user', '更新版块最后发表(防水墙相关)', 'cron_security_cleanup_lastpostphp', 0, 0, -1, -1, -1, '0');
复制代码
到此问题即可解决。
在构建我的vita系统的过程中,发现管理员管理的便捷与系统安全隐患之间的矛盾
全站采用cookie验证,比如wordpress的验证就是基于cookie的,由于cookie的明文传输
在局域网内极易被截获,或者这个vita在我不发骚的情况下存在了XSS漏洞的话,cookie被人截获,
在这种情况下,等于站点被人xxx了
另一种情况就是利用session来进行管理员身份的认证,但是由于php天生对于session的处理机制的问题,不能长时间保存,利用数据库构建的session系统开销太大,在这种情况下,我就只好先研究先下大家是怎么做的
于是分析了Discuz!的登陆验证机制
每个Discuz!论坛都有一个特定的authkey也就是Discuz!程序中的$_DCACHE['settings']['authkey']并且与用户的浏览器特征值HTTP_USER_AGENT一起组成了discuz_auth_key这个变量如下代码:
commoneincphp文件大概130行左右
$discuz_auth_key = md5($_DCACHE['settings']['authkey']$_SERVER['HTTP_USER_AGENT']);
在Discuz!论坛用户登陆以后会有一个cookie,名称为cdb_auth(cdb_是你站点的名称,可以设置不能在configincphp 文件中设置),Discuz!论坛就靠这个来判断一个用户是否是登陆状态,在分析这个值的内容之前,我们看下他是如何生成的
list($discuz_pw, $discuz_secques, $discuz_uid) = empty($_DCOOKIE['auth']) array('', '', 0) : daddslashes(explode("\t", authcode($_DCOOKIE['auth'], 'DECODE')), 1);
解释一下,获得的客户端的cookie经过Discuz!的函数authcode解密以后会得到用户输入的用户名,密码,在authcode函数中 会用到刚刚提到的$discuz_auth_key这个值,在不知道$discuz_auth_key的情况下,基本上靠cookie里的值反解出用户名 密码的几率为0,同样的,在生成cdb_auth就是相逆的一个流程,先获得用户输入的用户名,密码,在验证正确之后,用authcode加密,写入 cookie,很简单吧
以上就是Discuz!普通用户的登陆验证过程,写的不是很详细,大概能看明白就行
呵呵。。。我就是做论坛的,小站就是DZ61的,
你说的,是不可以的。。这仅仅是一个简单的防灌水模式。
这个是DZ官方人员开发的时候为了保护论坛,故意限制的,就是为了防止某些人用灌水软件对论坛进行恶意刷屏。。。
另一方面就是为了减轻论坛服务器的负担。。。
其实在后台,还有高级防灌水模式,就是要使用验证问答的方法,这个方法更变态。。。
所以说,如果你一定想要突破的话,那么,你要对论坛的源码要很了解,修改一下它的代码就可以了。。
0条评论