DISCUZ X1.5 安装问题 最后一步，数据库名 数据库用户名 数据库密码是多少是什么意思

数据库用户名就是你安装的mysql数据库的用户名，默认是root，

密码是该数据库中该用户的的密码，如果是root的话，就是root用户的密码。如果root用户没有密码则为空。

数据库名就是要在数据库中为DISCUZ创建的数据库的名称。有时，你要先创建好数据库，在在这里写上你创建的数据库名称，有时，你在这里写个要使用的名称，安装程序会给你创建好的。

discuz考虑到系统的安全，查看密码肯定是无法做到的，只能修改密码，discuz修改密码的步骤如下

1、找到所需要修改密码的用户 需要修改密码肯定首先要找到discuz下的该用户，进入后台，单击“用户”，再单击“用户管理”

discuz用户管理

此时，可以在“用户名”和“用户UID”中输入你要修改用户名密码的用户名称，然后单击“搜索”

2、填写修改的密码 单击“搜索”之后，会出现用户列表。在用户列表中单击“详情”链接

用户详情页面

在用户明细页面中，在“新密码”中填写修改后的密码，单击“提交”，即完成了discuz用户名密码的修改。

在构建我的vita系统的过程中,发现管理员管理的便捷与系统安全隐患之间的矛盾

全站采用cookie验证,比如wordpress的验证就是基于cookie的,由于cookie的明文传输

在局域网内极易被截获,或者这个vita在我不发骚的情况下存在了XSS漏洞的话,cookie被人截获,

在这种情况下,等于站点被人xxx了

另一种情况就是利用session来进行管理员身份的认证,但是由于php天生对于session的处理机制的问题,不能长时间保存,利用数据库构建的session系统开销太大,在这种情况下,我就只好先研究先下大家是怎么做的

于是分析了Discuz!的登陆验证机制

每个Discuz!论坛都有一个特定的authkey也就是Discuz!程序中的$_DCACHE['settings']['authkey']并且与用户的浏览器特征值HTTP_USER_AGENT一起组成了discuz_auth_key这个变量如下代码:

commoneincphp文件大概130行左右

$discuz_auth_key = md5($_DCACHE['settings']['authkey']$_SERVER['HTTP_USER_AGENT']);

在Discuz!论坛用户登陆以后会有一个cookie,名称为cdb_auth(cdb_是你站点的名称,可以设置不能在configincphp 文件中设置),Discuz!论坛就靠这个来判断一个用户是否是登陆状态,在分析这个值的内容之前,我们看下他是如何生成的

list($discuz_pw, $discuz_secques, $discuz_uid) = empty($_DCOOKIE['auth']) array('', '', 0) : daddslashes(explode("\t", authcode($_DCOOKIE['auth'], 'DECODE')), 1);

解释一下,获得的客户端的cookie经过Discuz!的函数authcode解密以后会得到用户输入的用户名,密码,在authcode函数中 会用到刚刚提到的$discuz_auth_key这个值,在不知道$discuz_auth_key的情况下,基本上靠cookie里的值反解出用户名 密码的几率为0,同样的,在生成cdb_auth就是相逆的一个流程,先获得用户输入的用户名,密码,在验证正确之后,用authcode加密,写入 cookie,很简单吧

以上就是Discuz!普通用户的登陆验证过程,写的不是很详细,大概能看明白就行