1

ワードプレス(最新)をインストールしたばかりで、ワードプレスを研究して、ワードプレスのように、またはそのレベルまで安全に作成しようとしています。

wordpress にログインすると、3 つの Cookie が作成されていることに気付きました。

私が理解しようとしているのは、ワードプレスにログインした後、ユーザーの Cookie を作成した後です。Cookie に挿入されるハッシュ値、その値はユーザーが誰であるかをどのように認証しますか? Cookie に保存されている値と、wp_users という名前のデータベース テーブルに保存されている値を照合しましたが、一致しません。

登録時にユーザーを認証するときに私が通常行うことは、ハッシュと呼ばれる tbl_users というテーブルに列を持ち、この列に入る値はユーザー名 (登録時に作成されたユーザー) の sha1 変換になります。 . ログインページにログインし、データベースに存在するかどうかを確認してユーザーを認証した後など。そのユーザーの Cookie を作成します。Cookie では、データベースに存在するハッシュを挿入し、Cookie に保存します。それが私がページを通してユーザーを追跡した方法です。wordpressがどのようにそれを行っているか知っている人はいますか?または多分私はそれを間違った方法でやっていますか?わからない..

前もって感謝します。

4

2 に答える 2

1

ユーザー認証ハッシュが Cookie に含まれている場合、それを読み取ることができます。また、データベース内の内容と既に直接一致しているため、Cookie の見方を知っている人なら誰でも使用できます。Wordpress は、ユーザー ハッシュに後処理を少し適用します。これは wp_settings.php にあると思います。

ユーザーハッシュと、wp_config.php の変数の 1 つに書き込む一意のキーを組み合わせていると思います。その後、ユーザー名ハッシュなどの公開されているものと、スクリプトでのみ使用できるものから一意のキーを構築します。公開されていません。データベースにあるものと一致し、ユーザーを認証するのはその組み合わせです。

それが理にかなっていることを願っています。他の人が PHP のセキュリティについてより良いアドバイスをくれるかもしれないので、質問をより一般的なものにしたいと思うかもしれません。

于 2009-03-13T10:24:30.353 に答える
0

私は MD5 暗号化を見て、それを使用して wordPress データベースで検証しようとします。私はそれを試していませんが、私は同じことをしたいと思っています。

あなたへのメモです。Web アプリの作成中に同じ問題に直面したとき、私はそれに対処することを避け、自分のアプリのラッパーとして wordpress を使用することにしました。選択したテンプレートに直接ログインできます。このテンプレートは PHP ページにすることができます。そのため、内部で好きなことを行うことができますが、アプリケーションは Wordpress によって保護され、状況が変化するとセキュリティが更新されます。これまでのところ、これはウィンウィンウィンの取り決めでした。

wordPress 自体を使用してユーザーを検証します。誰がログインしてアプリを使用しているかを確認するために、Wordpress に存在する関数を呼び出すことができます。その後、ワードプレスが提供するすべてのものを利用できます. WordPress の管理パネル内に PHPMyAdmin があるのが気に入っています。これにより、最近の私の生活は信じられないほど楽になり、セキュリティについて知らないことについて心配する必要がなくなりました。セキュリティの専門家なしで開発を行う場合、これは優れた選択肢となる可能性があります。設定方法について詳しく知りたい場合はお知らせください。

于 2009-05-23T20:48:44.673 に答える