cookie, созданный в wordpress (последний)

Question

Я только что установил wordpress (последнее) и im, пытаясь изучить Wordpress, чтобы сделать мои творения безопасными, например, Wordpress или его уровень.

Я заметил при входе в Wordpress, он создал 3 куки.

то, что я пытаюсь выяснить, - после входа в Wordpress и после создания файлов cookie для пользователя. значения хэша, которые вставляются в файл cookie, как это значение аутентифицирует пользователя? i сопоставил значения, хранящиеся в файле cookie, с значениями, хранящимися в таблице баз данных wp_users, и это не соответствует.

Что я обычно делаю при аутентификации пользователя при регистрации, у меня будет столбец в таблица говорит, что tbl_users называются хешем, а значение, которое будет в этом столбце, будет преобразованием sha1 имени пользователя (пользователя, созданного при регистрации). и при входе на страницу входа в систему и после аутентификации пользователя, проверяя, существует ли он в db и т. д. Я бы создал cookie для этого пользователя. в cookie я бы ввел хэш, который существовал в db, и сохранил его в файле cookie. таким образом я отслеживал пользователя через страницы. кто-нибудь знает, как это делает Wordpress? или, может быть, я делаю это неправильно? я не знаю ..

благодарит заранее.

Answer 1

Если хэш-код аутентификации пользователя находится в cookie, его можно прочитать, и поскольку он уже соответствует тому, что находится в базе данных, он может использоваться любым, кто знает, как смотреть файлы cookie. Wordpress применяет немного постобработки к пользовательскому хешу, я думаю, что он находится в wp_settings.php.

Я думаю, что он объединяет хэш пользователя с уникальным ключом, который вы записываете в одну из переменных в wp_config.php. После этого у вас есть уникальный ключ, созданный из чего-то общедоступного, такого как хэш-имя пользователя или что-то еще, и из того, что доступно только в скрипте. не являются общедоступными. Это та комбинация, которая затем соответствует тому, что находится в db, и аутентифицирует пользователя.

Надеюсь, что имеет смысл. Некоторые другие люди могут дать вам лучший совет по безопасности PHP, поэтому вы можете сделать свой вопрос более общим.

Answer 2

Я бы посмотрел на шифрование MD5 и просто попытаюсь проверить в вашем wordPress db, используя это. Я не пробовал, но хочу сделать то же самое.

Просто записка для вас. Когда я столкнулся с одной и той же проблемой при создании веб-приложений, я избегал иметь дело с этим и просто решил использовать Wordpress в качестве оболочки для своих приложений. У вас может быть прямой вход в выбранный вами шаблон, который может быть страницей PHP, поэтому внутри вы можете делать что угодно, но ваше приложение будет защищено Wordpress, и они изменят свою безопасность по мере изменения вещей. До сих пор для меня это было соглашение о победе в выигрыше.

Я подтверждаю, что мои пользователи используют wordPress самостоятельно. Вы можете вызывать функции, которые существуют в Wordpress, чтобы проверить, кто входит в систему и использует ваше приложение. Вы можете воспользоваться преимуществами всего, что предлагает Wordpress. Мне нравится, когда PHPMyAdmin находится прямо в панели администрирования wordPress. Это сделало мою жизнь невероятно легкой в ​​последнее время, и мне не нужно беспокоиться о том, чего я не знаю о безопасности. Если вы развиваетесь без эксперта по безопасности, это может быть отличным вариантом для вас. Дайте мне знать, хотите ли вы узнать больше о том, как я его настраиваю.