discuz登录密码怎么验证

在构建我的vita系统的过程中,发现管理员管理的便捷与系统安全隐患之间的矛盾

全站采用cookie验证,比如wordpress的验证就是基于cookie的,由于cookie的明文传输

在局域网内极易被截获,或者这个vita在我不发骚的情况下存在了XSS漏洞的话,cookie被人截获,

在这种情况下,等于站点被人xxx了

另一种情况就是利用session来进行管理员身份的认证,但是由于php天生对于session的处理机制的问题,不能长时间保存,利用数据库构建的session系统开销太大,在这种情况下,我就只好先研究先下大家是怎么做的

于是分析了Discuz!的登陆验证机制

每个Discuz!论坛都有一个特定的authkey也就是Discuz!程序中的$_DCACHE['settings']['authkey']并且与用户的浏览器特征值HTTP_USER_AGENT一起组成了discuz_auth_key这个变量如下代码:

commoneincphp文件大概130行左右

$discuz_auth_key = md5($_DCACHE['settings']['authkey']$_SERVER['HTTP_USER_AGENT']);

在Discuz!论坛用户登陆以后会有一个cookie,名称为cdb_auth(cdb_是你站点的名称,可以设置不能在configincphp 文件中设置),Discuz!论坛就靠这个来判断一个用户是否是登陆状态,在分析这个值的内容之前,我们看下他是如何生成的

list($discuz_pw, $discuz_secques, $discuz_uid) = empty($_DCOOKIE['auth']) array('', '', 0) : daddslashes(explode("\t", authcode($_DCOOKIE['auth'], 'DECODE')), 1);

解释一下,获得的客户端的cookie经过Discuz!的函数authcode解密以后会得到用户输入的用户名,密码,在authcode函数中 会用到刚刚提到的$discuz_auth_key这个值,在不知道$discuz_auth_key的情况下,基本上靠cookie里的值反解出用户名 密码的几率为0,同样的,在生成cdb_auth就是相逆的一个流程,先获得用户输入的用户名,密码,在验证正确之后,用authcode加密,写入 cookie,很简单吧

以上就是Discuz!普通用户的登陆验证过程,写的不是很详细,大概能看明白就行

那是你网站被挂马了，建议抓紧修复网站漏洞，以及清除木马代码。防止再次被挂马。

建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。

有条件建议找专业做网站安全的sine安全来做安全维护。

一：挂马预防措施：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！

序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

二：挂马恢复措施：

1修改帐号密码

不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号

密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用

SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。

2创建一个robotstxt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3修改后台文件

第一步：修改后台里的验证文件的名称。

第二步：修改connasp，防止非法下载，也可对数据库加密后在修改connasp。

第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。

4限制登陆后台IP

此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。

5自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛，可能会向不明来意者传送对方想要的信息。

6慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

8 cookie 保护

登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9目录权限

请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10自我测试

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。

11例行维护

a定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

b定期更改数据库的名字及管理员帐密。

c借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。

网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。

您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢，您否也因为不太了解网站技术的问题而耽误了网站的运营，您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。

utility 这个文件夹 网站上直接删除，这个升级用的 ，若网站需要升级到时直接到官方站下载对应版本即可。 网站上就不上传这个文件 只上传 upload 里面的文件到 空间或者服务器站点

Discuz默认是不支持HTTPS的，当然如果是新的Discuz论坛，建议在没有安装程序之前先安装SSL证书。不建议使用互联网免费产品，因为免费产品不会让您稳定的发展业务，尤其是网站建设，从头到尾都需要使用稳定的产品，长可以长治久安。

1、确定使用的是独立服务器，虚拟主机具体需要根据主机提供商识别，当然也可以让Gworg查看是否支持。

2、确定需要添加SSL证书的一级或二级域名。

3、登陆Gworg办理SSL证书，并且完成验证，获取证书。

4、拿到证书后安装教程部署到服务器就可以了：网页链接

Discuz! X15与之前版本不同的是，Discuz! X15以“打造经典”为使命，从提高程序功能效率、优化调整用户界面和体验、增加站长运营工具等各方面进行全方面改进和升级。 

　　在界面用户体验上回归传统，尊重传统论坛用户习惯，沿用了Discuz！经典界面风格；在细节上进行了一系列革新，处处体现人性化设置，例如论坛增加“电梯”功能，能够切换到指定楼层，提升贴子阅读的快捷度；在程序上，对Discuz! X10版本300多项的功能细节进行改进，完善了新/老版本中700多项各类已知小问题；在拓展上，开发婚嫁、亲子、汽车、房产等频道，即装即用，适用于不同经营方向的网站，例如品牌空间能帮助站长树立地方性消费门户形象。

全新底层架构

　　Discuz! X 吸收了Comsenz数年来积累的宝贵产品经验，启用了全新研发的技术架构和数据库结构。共同的函数体/类、统一的CSS/JS/界面体验、通用的产品扩展/接口已经全面融入Discuz! X体系。底层架构以实现不同功能的通用功能为基准，追求精简高效，并基于UCenter的开放性用户库体系，让基于Discuz! X的多功能研发更加规范和方便，站点拓展功能成本大大降低，并以面向未来的基础体系来建设站点。 

统一平台

　　Discuz! X 将用户基础资料、等级权限、积分成长体系、好友人际关系、多类型内容审核与管理、多角色人员权限分配、各项站点参数设置等站点基础数据，进行了有机融合，让站点基础建筑更加浑然一体和牢固。 

性能优化

　　Discuz! X 的研发始终以性能与负载为核心考量点之一，并在新框架体系的有力支持下，成为第一个产品级层面支持数据表多服部署，让数据库服务器有效扩展的产品；内置诸如memcache、eAccelerator、Xcache等多套内存优化原生支持；引入各类缓存机制的同时，独创多模块更新防宕机机制，通过产品进程锁保持缓存单次更新；并对以往产品里面容易出现性能瓶颈的核心用户表进行了多表分离，按需查询；大数据量帖子表支持多设置参数的分表模式等。Discuz! X 对性能负载的高标准，充分满足站点低负载高性能的共性需求。 

安全防御　　Discuz! X 拥有独创主动防御体系，可有效主动防御未知入侵行为和PHP函数漏洞；针对常见的SQL注入、CC攻击、跨站脚本攻击等，从基础体系上面已经进行多级屏蔽处理；并拥有文件修改校验、数据库结构校验等后备机制，有效快速发现异常问题，多方位确保站点数据的安全。 

门户系统

　　Discuz! X 新增全新门户系统，拥有频道栏目、文章投稿、审核体系、编辑人员权限分配等基础功能；文章与帖子、日志可以进行有效互通，快速将帖子或日志推送到门户系统；通过独有的可视化的页面拖拽技术，站内数据聚合已经实现多数据类型、多页面、多区域、多位置任意展示，让社区的媒体价值得到淋漓尽致的展现。 

专题功能

       discuz15 排行榜界面

个性空间

　　个人空间拥有类似于QZone一样的多模板、多模块。模块可以自由选择、拖拽、卸载、自定义风格；并拥有音乐盒、留言板等个人服务功能，并结合记录、日志、相册、主题、分享、好友等SNS功能模块，可以充分满足站内用户的个性化和交友互动需求，有效增加用户粘性。 

运营支撑

       任务系统、积分系统、道具系统、多级认证体系、勋章体系、多内容先审后发体系、增强防灌水体系、更人性化的常用管理入口等，数十个有针对性的运营性改进，可以有效辅助站点的日常运营与站点维护。 

商业拓展

       品牌空间、房产系统、X-Plus（投票、团购）等多款基于UCenter的官方产品，可以完美挂接Discuz! X产品，协助地方站点依托网站资源及品牌加快网站商业化步伐。 

全文搜索

       Discuz! X 可以选择开启基于Manyou体系的全文搜索功能，零成本完美实现社区全文搜索，实时同步站内数据，百万数据搜索时间毫秒级实现，充分满足在有限的服务器成本上，实现对站内海量数据高速挖掘的基础需求。