post by
Uncle Liu / 2010-5-27 10:32 Thursday
phpwind是国内一款开源的论坛,在php开源论坛上,与discuz并肩争峰。最近,甚至在专业用户领域,有赶超discuz之势。但也并不是说明phpwind就全部都是优点,如密码加密方式上,就有待改进。
本文将以我对phpwind的研究来做一些总结。
phpwind的数据表中,密码采用单纯一次md5加密的方式。所有的密码经过一次md5之后存入数据库。这在当今来说,并不是什么安全的方式。因为假设,你的数据库被人盗取,那么用户的密码也几乎被人盗取。因为现在甚至有在线破解md5值的网站,已经积累了大量的数据,简单的位数短的密码可以直接还原。让你的隐私无处循形。
而在本博中,我曾提到过一次discuz的加密方式,http://www.akii.org/discuz_md5_salt/,其采用salt方式,将一个随机字串的md5值与密码的md5方式再次md5之后存入数据库。当然同时也要存储这个随机字串。假设用户数据库被人盗取后,也无法通过被md5的值来获取用户密码。这在很大程度上保证了用户的隐私安全。
phpwind的cookie加密方式,采用用户浏览器信息加用户的md5后的密码再加论坛的一个cookie加密字串(安全时随机生成,可更改)来形成一个字串,再能冠军base_64方式来加密后存入cookie。这种加密方式还是比较可取的。因为用户的浏览器信息是不能完全摸拟的。而且phpwind提供了一项设置,即如果用在企业网络中,可能就是一个大型的局域网,可以针对网域本身进行检查。以实现不能网段间的正常浏览。
//cookie加密,采用用户信息和加密字串加密码的md5值
function PwdCode($pwd){
return md5($GLOBALS['pwServer']['HTTP_USER_AGENT'].$pwd.$GLOBALS['db_hash']);
}
//base_64加解密码,用以存入和读取cookie中的加密字符串
function StrCode($string,$action='ENCODE'){
$action != 'ENCODE' && $string = base64_decode($string);
$code = '';
$key = substr(md5($GLOBALS['pwServer']['HTTP_USER_AGENT'].$GLOBALS['db_hash']),8,18);
$keylen = strlen($key); $strlen = strlen($string);
for ($i=0;$i<$strlen;$i++) {
$k = $i % $keylen;
$code .= $string[$i] ^ $key[$k];
}
return ($action!='DECODE' ? base64_encode($code) : $code);
}
而phpwind后台,因为要加入时间,默认为1800秒,所以把时间变量也加入了cookie
$CK = array($timestamp,$_POST['admin_name'],md5(PwdCode(md5($_POST['admin_pwd'])).$timestamp),$safecv);
Cookie('AdminUser',StrCode(implode("\t",$CK)));
