我刚刚安装了 wordpress(最新的)并且我试图研究 wordpress 以使我的创作像 wordpress 那样安全或达到它的水平。
我注意到登录 wordpress 时,它创建了 3 个 cookie。
我想弄清楚的是 - 在登录 wordpress 并为用户创建 cookie 之后。插入 cookie 的哈希值,该值如何验证用户是谁?我将存储在 cookie 中的值与存储在名为 wp_users 的数据库表中的值进行匹配,但它不匹配..
我通常在注册时验证用户时做的是我将在表中有一列称为 tbl_users 称为 hash 并且该列中的值将是用户名的 sha1 转换(用户在注册时创建) . 并在登录页面登录并通过检查用户是否存在于数据库中等方式对用户进行身份验证后。我会为那个用户创建一个 cookie。在 cookie 中,我将插入数据库中存在的哈希并将其存储在 cookie 中。这就是我通过页面跟踪用户的方式。有人知道wordpress是怎么做的吗?或者我做错了?我不知道..
提前致谢。
如果用户身份验证哈希在 cookie 中,则可以读取它,并且由于它已经直接匹配数据库中的内容,因此任何知道如何查看 cookie 的人都可以使用它。Wordpress 对用户哈希应用了一点后处理,我认为它在 wp_settings.php 中。
我认为它将用户哈希与您写入 wp_config.php 中的变量之一的唯一键相结合。之后,您将拥有一个唯一的密钥,该密钥由公开可用的内容(例如用户名哈希或其他任何内容)以及仅在脚本中可用的内容(即。不公开。正是这种组合与数据库中的内容相匹配并对用户进行身份验证。
希望这是有道理的。其他一些人可能能够就 PHP 安全性向您提供更好的建议,因此您可能想让您的问题更笼统。
我会查看 MD5 加密,然后尝试使用它在您的 wordPress 数据库中进行验证。我没有尝试过,但我想做同样的事情。
只是给你一个便条。当我在创建 web 应用程序时遇到同样的问题时,我避免处理这个问题,只是决定使用 wordpress 作为我的应用程序的包装器。您可以直接登录到您选择的模板,该模板可以是一个 PHP 页面,因此一旦进入,您就可以做任何您喜欢的事情,但您的应用程序将受到 Wordpress 的保护,并且它们会随着事情的变化而更新其安全性。到目前为止,对我来说,这是一个双赢的安排。
我使用 wordPress 本身验证我的用户。您可以调用 Wordpress 中存在的函数来验证谁已登录并使用您的应用程序。然后,您可以利用 wordpress 所提供的一切。我喜欢在 wordPress 管理面板中使用 PHPMyAdmin。这让我最近的生活变得异常轻松,我不必担心我对安全性的不了解。如果您在没有安全专家的情况下进行开发,这对您来说可能是一个不错的选择。如果您想了解更多关于我如何设置它的信息,请告诉我。