我刚刚安装了wordpress(最新版本),我正在尝试研究wordpress,以使我的作品像wordpress一样安全,或者达到它的水平。
我注意到登录wordpress后,它创建了3个cookie。
我想弄清楚的是 - 在登录wordpress之后以及为用户创建了cookie之后。插入到cookie中的哈希值,该值如何验证用户是谁?我将存储在cookie中的值与存储在名为wp_users的数据库表中的值进行匹配,但它不匹配..
我在验证用户注册时通常会做的事情是我会在表中有一个列说tbl_users称为哈希值,此列中的值将是用户名的sha1转换(用户创建的用户名)在注册时)。登录登录页面后,通过检查用户是否存在于db等来验证用户之后。我会为该用户创建一个cookie。在cookie中我会插入db中存在的哈希并将其存储在cookie中。这就是我通过页面跟踪用户的方式。有谁知道wordpress是怎么做的?或者也许是我做错了吗?我不知道..
提前感谢。
答案 0 :(得分:1)
如果用户身份验证哈希在cookie中,则可以读取它,并且因为它已经直接匹配数据库中的内容,所以任何知道如何查看cookie的人都可以使用它。 Wordpress对用户哈希应用了一点后处理,我认为它在wp_settings.php中。
我认为它将用户哈希与您写入wp_config.php中的一个变量的唯一键组合在一起。在那之后,你有一个独特的密钥,由公共可用的东西构建,如用户名哈希或其他任何东西,以及脚本中唯一可用的东西,即。不公开。然后,该组合将匹配数据库中的内容并对用户进行身份验证。
希望这是有道理的。其他一些人可能会为您提供有关PHP安全性的更好建议,因此您可能希望使您的问题更加通用。
答案 1 :(得分:0)
我会看一下MD5加密,然后尝试使用它来验证你的wordPress数据库。我没有尝试过,但我想做同样的事情。
给你一张便条。当我在创建Web应用程序时遇到同样的问题时,我避免处理它并且决定使用wordpress作为我的应用程序的包装器。您可以直接登录到您选择的模板,该模板可以是PHP页面,因此一旦进入您可以做任何您喜欢的事情,但您的应用程序将受到Wordpress的保护,并且随着事情的变化更新其安全性。到目前为止,对我而言,这是一个双赢的安排。
我使用wordPress本身验证我的用户。您可以调用Wordpress中存在的函数来验证谁登录并使用您的应用程序。然后,您可以利用wordpress提供的所有功能。我喜欢在wordPress管理面板中使用PHPMyAdmin。这最近使我的生活变得异常简单,我不必担心我对安全性的了解。如果您的开发没有安全专家,这可能是一个很好的选择。如果您想了解我如何设置它的更多信息,请告诉我。