Собственно делаю адаптацию некоторых скриптов под единую базу с инстантом.
Интересуют на сейчас такие моменты:
1. Можно ли дернуть из $_SESSION[]/$_COOKIE[] информацию о том, авторизован ли пользователь на сайте с инстант.цмс? Если можно, то приведите пример(в куках инфу не нашел, значит хранится в сессиях, это хорошо) :)
2. Какой хеш/салт используется для хранения пароля пользователя в базе instantcms? (пока еще не добрался до механизма крипта)
На пока всё :)
некоторые данные
#1
4 октября 2011 в 00:49
#2
4 октября 2011 в 01:05
components/registration/frontend.php один раз мд5
#3
4 октября 2011 в 01:12
Огорчен, это же не безопасно (( очень не безопасно…components/registration/frontend.php один раз мд5
Сегодня в 07:44
Ничего не мешает самому сделать двойной, там три правки в этом файле и все. я себе сразу сделал
#5
4 октября 2011 в 12:11
picaboo, поделитесь с сообществом?
#6
4 октября 2011 в 12:54
А после авторизации пользователя где хранятся данные о том, что он авторизован и как замутить аналогичную проверку на соседнем своем же сайте но не на инстанте? )Ничего не мешает самому сделать двойной, там три правки в этом файле и все. я себе сразу сделал
не знаю. честно. я писал плагин авторизации в дле и смф форуме. там есть событие я через него регал. только $user_array не полноценный, в него надо добавить нужные поля.
например мне там нужен был пароль чтобы зарегистрировать.
а это для авторизации. но тоже надо дополнять нужными параметрами
#8
4 октября 2011 в 13:35
picaboo, поделитесь с сообществом?
а бесполезно делится. двойной мд5 нужен только при миграции с системы которая его поддерживала. например с дле, так как там тоже двойной мд5. ничто не мешает поменять на sha1. покопайте в файле регистрации, там все вроде как просто
#9
5 октября 2011 в 12:15
Двойной хеш это маразм… Лучше уж делать по другому: генерируем случайную строку, ее добавляем к паролю, после все это прокидываем в base64() чтобы увеличить размер строки(а как следствие увеличить брутоустойчивость будующего хеша) а потом уже хеш-им(md5/sha1 or etc), в базе делаем доп. колонку для салта(случайной строки) вот и весь успех )а бесполезно делится. двойной мд5 нужен только при миграции с системы которая его поддерживала. например с дле, так как там тоже двойной мд5. ничто не мешает поменять на sha1. покопайте в файле регистрации, там все вроде как просто
#10
5 октября 2011 в 13:40
не возьмусь разводить холивар что лучше, у меня стояла задача конвертнуться с другого движка без потери паролей юзеров, чтобы не надо было им проходить процедуру восстановления.