文档章节

使用discuz加密函数authcode对cookie进行加密

_c_q
 _c_q
发布于 2016/08/02 17:43
字数 427
阅读 21
收藏 0

项目里涉及到用户登录的部分,需要存在到cookie,比如用户的id,用户的账号,我都是直接把数据存储进cookie,只要用户修改了cookie的user_id就可以登录别人的账号,显然这是很不安全的。
discuz是现在最流行的php开源论坛系统,项目的论坛就是使用discuz,discuz对cookie使用authcode方法进行加密,它是康盛开发的一个使用异或运算进行加密和解密的函数

function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
    $ckey_length = 4;

    $key = md5($key ? $key : UC_KEY);
    $keya = md5(substr($key, 0, 16));
    $keyb = md5(substr($key, 16, 16));
    $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';

    $cryptkey = $keya.md5($keya.$keyc);
    $key_length = strlen($cryptkey);

    $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
    $string_length = strlen($string);

    $result = '';
    $box = range(0, 255);

    $rndkey = array();
    for($i = 0; $i <= 255; $i++) {
        $rndkey[$i] = ord($cryptkey[$i % $key_length]);
    }

    for($j = $i = 0; $i < 256; $i++) {
        $j = ($j + $box[$i] + $rndkey[$i]) % 256;
        $tmp = $box[$i];
        $box[$i] = $box[$j];
        $box[$j] = $tmp;
    }

    for($a = $j = $i = 0; $i < $string_length; $i++) {
        $a = ($a + 1) % 256;
        $j = ($j + $box[$a]) % 256;
        $tmp = $box[$a];
        $box[$a] = $box[$j];
        $box[$j] = $tmp;
        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
    }

    if($operation == 'DECODE') {
        if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
            return substr($result, 26);
        } else {
            return '';
        }
    } else {
        return $keyc.str_replace('=', '', base64_encode($result));
    }

}

在父类控制器中对用户的cookie操作进行封装

/**
     * 获取用户id
     * @return int
     */
    protected function getCookieUserId()
    {
        return isset($_COOKIE[self::COOKIE_USER_ID]) ? authcode($_COOKIE[self::COOKIE_USER_ID],'DECODE',self::COOKIE_SECRET_KEY) : 0;
    }

    /**
     * 设置用户id
     * @param $user_id
     */
    protected function setCookieUserId($user_id)
    {
        cookie(self::COOKIE_USER_ID, authcode($user_id,'ENCODE',self::COOKIE_SECRET_KEY), self::COOKIE_EXPIRE_TIME); // 指定cookie保存时间 一个月
    }

user_id =4加密后的效果是8265K2O0FITEGdltNAqLyHfBm1Zlj6OAn+IhND04

这样就很安全啦

© 著作权归作者所有

_c_q
粉丝 2
博文 16
码字总数 5462
作品 0
杭州
私信 提问
Ucenter 会员同步登录通讯原理

1,用户登录bbs,通过logging.php文件中,使用函数uc userlogin验证,如果验证成功,将调用函数 usersynlogin(位于 ucclient下的client.php文件 中),在这个函数中调用uc apipost('user', ...

雍雍_yoyo
2015/08/13
0
0
2个比较经典的PHP加密解密函数

项目中有时我们需要使用PHP将特定的信息进行加密,也就是通过加密算法生成一个加密字符串,这个加密后的字符串可以通过解密算法进行解密,便于程序对解密后的信息进行处理。最常见的应用在用...

Yomut
2018/05/04
0
0
discuz authcode详解

discuz的 authcode 函数可以说对中国的PHP界作出了重大贡献。包括康盛自己的产品,以及大部分中国使用PHP的公司都用这个函数进行加密,authcode 是使用异或运算进行加密和解密。 原理如下,假...

cnbird
2013/03/12
0
0
用 Python 重写 PHP 加密解密算法 authcode

刚刚读了一遍 Discuz 系列产品中广泛使用的加密解密算法 authcode,受益匪浅,真是设计巧妙。 为了真的理解其中的想法,用 Python 改写了一遍。 小白程序员一枚,学艺不精,望路过的各位大侠...

catroll
2013/12/18
0
0
acluserauth - 支持cookie登陆的acluser

主要实现cookie登陆记忆功能,原来acluser只能一次性session,现在是先检验session,找不到session从cookie里读取之前登陆时存入的信息然后新建一个session 将原来里的行为插件由acluser改成...

durban
2012/10/13
0
1

没有更多内容

加载失败,请刷新页面

加载更多

跨域的理解,以及解决方案!

/*什么是跨域? * 跨域的主要原因是浏览器的同源策略。 * =>>所谓的同源策略就是A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。 * 什么是同源? * =>>同源就是协议相同、域名相同...

流年那么伤
16分钟前
3
0
Nginx配置try_fiels,php无法获取$_GET参数

平时开发都是用LNMP,新安装的虚拟机在配置nginx的rewrite的时候使用try_files命令。但是在写的时候配置成“try_files $uri $uri/ /index.php?q=args;”, 在PHP的web程序中,打印$_GET为空。...

叫我哀木涕
16分钟前
1
0
【原创】Microsoft Edge可以用localhost访问但无法用IP访问

Microsoft Edge可以用localhost和127.0.0.1访问但无法用本机IP访问, chrome ie都可以推测是edge的问题,网络是专用网络,防火墙也关了: 在edge里 按F12 以在控制台里看到这句 CONSOLE21301...

shzwork
17分钟前
1
0
Python利用数学方程式画4种不一样的心型图案

前言 下面这四个心型图案,是通过科学地计算,根据数学方程式生成的,虽然做的不是特别完美,但是基本的还是能实现的 第一个心型 结果图 第二心型 结果图 学习从来不是一个人的事情,要有个相互监...

A_裙232550246
17分钟前
1
0
微信带场景参数的二维码生成与使用?

微信公众号推广时,用户通过扫二维码关注公众号,需要统计用户是通过谁的二维码进行关注。 在用户扫码关注公众号时,二维码带上推广者的参数,在关注公众号后,获取到该推广者的参数。 目前有...

wxgzhgncj
18分钟前
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部