როგორ შევქმნათ საკუთარი სარეგისტრაციო გვერდი WordPress Multisite. Vikoristannya ბიბლიოთეკა TGM მოდული გააქტიურება WordPress თემებში Mirkuvannya გააქტიურება php

დღეს ჩვენ გადავხედავთ კრიტიკული 1 დღიანი დაუცველობის ექსპლუატაციას პოპულარულ CMS Joomla-ში, რომელიც ბოლო წლებში გამოჩნდა ინტერნეტში. გთხოვთ გაითვალისწინოთ განსხვავება რიცხვებთან CVE-2016-8869, CVE-2016-8870і CVE-2016-9081. გამოიყენე ერთი შომატოჩკა კოდის სამი მილი, იაკი პიატ დოვგიხ როკივას ცელქი ფრამვარკი თვალში, შჩობ პოტიმ ვირვატი ნებაზე, ქაოსის მოტანა, ზლამანი, ეს არ არის იგივე, არა ჩომუვაჩივებში, ყველაზე კაშკაშა და მეგობრულმა მუშებმა, რომელთა თვალები მონიტორების შუქზე წითელია და კლავიატურა პურის ნამსხვრევებით არის გაჟღენთილი, შეძლეს მძვინვარებული ბოროტი სულების ძახილი და თავები შენზე დაადონ. აფიქსირებს.

გაფრთხილება

რატომ დაიწყო ეს ყველაფერი

2016 წლის 6 ივნისს დემის პალმამ შექმნა თემა Stack Exchange-ზე, რომელშიც მან თქვა: რატომ ჯანდაბა, Joomla-ს 3.6 ვერსიაში არის ორი მეთოდი კლიენტების დარეგისტრირებისთვის ახალი სახელის რეგისტრით()? პირველი მდებარეობს UsersControllerRegistration კონტროლერში, ხოლო მეორე არის UsersControllerUser-ში. ჩვენ გვინდა ვიცოდეთ, რომ ეს მეთოდი UsersControllerUser::register() ბოროტად გამოიყენება, მაგრამ ეს უბრალოდ ევოლუციური ანაქრონიზმია, რომელმაც დაკარგა ძველი ლოგიკა. ეს გამოწვეულია იმით, რომ ეს მეთოდი არ ერევა ყოველდღიურ მოვლენებში, მაგრამ შეიძლება დაგისვათ დამატებითი ჩამოყალიბებული შეკითხვა. ამ მიზნით, ჩვენ ვუპასუხეთ დეველოპერს მეტსახელით itoctopus, რომელმაც დაადასტურა, რომ პრობლემა ნამდვილად არსებობს. І გაგზავნით შეტყობინება Joomla-ს გადამყიდველებს.

გარდა ამისა, წიპწები განვითარდა ყველაზე მოწინავე გზით. 18 ივნისს Joomla-ს დისტრიბუტორებმა მიიღეს მოხსენება დემისისგან, რომელმაც იმ დროს გაგზავნა PoC, რომელიც კლიენტის რეგისტრაციის საშუალებას იძლევა. თქვენ გამოაქვეყნეთ ჩანაწერი თქვენს ვებსაიტზე, სადაც დაადასტურეთ, რომ თქვენს დისკზე პრობლემა იპოვეთ. რა დღეში მიდიხარ? Ახალი ვერსია Joomla 3.6.3, რომელიც ჯერ კიდევ ხელს უშლის კოდის დაღვრას.

ამის შემდეგ, დავიდე ტამპელინი ავრცელებს შეცდომას იმ დონემდე, რომ დაარეგისტრიროს არა მხოლოდ უბრალო ბუღალტერი, არამედ ადმინისტრატორი. უკვე 21 წელია, ჯომლას უსაფრთხოების ჯგუფმა მიიღო ახალი საქმე. უკვე არავინ იცის პრივილეგიების წინსვლის შესახებ. ამ დღესვე, Joomla-ს ვებგვერდზე გავრცელდა განცხადება იმის შესახებ, რომ სამშაბათს, 25-ში, გამოვა ახალი ვერსია სერიული ნომრით 3.6.3, რომელიც ასწორებს კრიტიკულ გაჟონვას სისტემის ბირთვში.

Joomla Security Strike Team-ის 25-ე ეპიზოდი ვიცი პრობლემას დავტოვებ, რომელიც ქმნის დემის შმატოკის კოდის გამოვლინებებს. შემდეგ, Joomla-ს ოფიციალური საცავების სათაურში არის 21 ღონისძიების კომიტეტი შეუმჩნეველი სახელით Prepare 3.6.4 Stable Release, რომელიც ასწორებს საშინელ შეცდომას.

ამ გამოსვლის შემდეგ, ინდივიდების რაოდენობა უკავშირდება დისტრიბუტორების ურთიერთდაკავშირებას - ისინი იწყებენ დაღვრას და მზადებას შერწყმისთვის.

27 ივნისს მკვლევარმა ჰარი რობერტსმა Xiphos Research-ის საცავში შეიტანა მზა ექსპლოიტი, რომელსაც შეუძლია PHP ფაილის იმპორტი სერვერზე CMS გამოშვებიდან.

დეტალები

ისე, პრეისტორია დასრულდა, გადავიდეთ ბოლო ნაწილზე - ჩამოსხმის ანალიზზე. მას შემდეგ, რაც მე დავაყენე Joomla 3.6.3, როგორც ბოლო ვერსია, მწკრივის ყველა ნომერი შესაბამისი იქნება ამ ვერსიისთვის. და ფაილებისკენ მიმავალი ყველა გზა, რომელიც შემდგომ დაგჭირდებათ, მითითებულია დაინსტალირებული CMS-ის ძირში.

ჩვენ დიდი ხანია ვიცით, რომ დემის პალმამ იცის, რომ სისტემაში კლიენტის რეგისტრაციის დასრულების ორი მეთოდი არსებობს. პირველი მდებარეობს CMS ფაილში /components/com_users/controllers/registration.php:108. მეორე (ის, რომელზეც უნდა დავაჭიროთ) ცხოვრობს /components/com_users/controllers/user.php:293-ში. მოდით გავაკვირვოთ ახალი უფრო ახლოს.

286: /** 287: * მომხმარებლის რეგისტრაციის მეთოდი. 288: * 289: * @return boolean 290: * 291: * @since 1.6 292: */ 293: public function register() 294: ( 295: JSession::checkToken("post") ან jexit(JText::_ ("JINVALID_TOKEN"));... 300: // მიიღეთ ფორმის მონაცემები.301: $data = $this->input->post->get("user", array(), "array"); . 315: $return = $model->validate($form, $data);316: 317: // შეამოწმეთ შეცდომები. / დაასრულეთ რეგისტრაცია 346: $return = $model->register($data);

აქ მე დავკარგე მეტი რიგები. ჩამოსხმის მეთოდის უახლესი ვერსია შეგიძლიათ იხილოთ Joomla-ს საცავში.

მოდით გავარკვიოთ, რა ხდება კორისტუვაჩის თავდაპირველი რეგისტრაციის დროს: როგორ ხდება მონაცემების იძულება და როგორ წარმოიქმნება სუნი. თუ კლიენტების რეგისტრაცია ჩართულია პარამეტრებში, ფორმა შეგიძლიათ იხილოთ მისამართზე http://joomla.local/index.php/component/users/?view=registration.

კორისტუვაჩის რეგისტრაციის ლეგიტიმური მოთხოვნა ჰგავს შემდეგ ეკრანის სურათს.

com_users კომპონენტი პასუხისმგებელია კლიენტებთან მუშაობაზე. შეცვალეთ მნიშვნელობა ჩანაწერის ამოცანის პარამეტრზე. ფორმატი არის $controller.$method. მოდით შევხედოთ ფაილის სტრუქტურას.

მამის სცენარის სახელები კონტროლერებიისინი მიუთითებენ იმ კონტროლერების სახელებს, რომლებსაც დაუკავშირდნენ. ასე რომ, რადგან ჩვენ გვაქვს $controller = "რეგისტრაცია" ერთდროულად, მაშინ ფაილი გამოიძახება რეგისტრაცია.phpეს არის register() მეთოდი.

Uvaga, საკვები: როგორ გადავიტანოთ რეგისტრაციის დამუშავება ადგილზე კოდით? შენ, იმღერე-სიმღერა, უკვე გამოიცანი. მიმდინარე და რეალური მეთოდების სახელები გაერთიანებულია (რეგისტრაცია), ამიტომ უნდა შევცვალოთ დაწკაპუნებული კონტროლერის სახელი. და სად ვართ ცნობილი, როგორც კონფლიქტების მაკონტროლებელი? მართალია, ფაილი user.php. შეიყვანეთ $controller = "მომხმარებელი". ყველაფერს ერთდროულად ვაგროვებთ და ვირჩევთ task=user.register. ახლა რეგისტრაციის მოთხოვნა მუშავდება ჩვენთვის საჭირო მეთოდით.

კიდევ ერთი რაც უნდა გავაკეთოთ არის მონაცემების სწორი ფორმატით გაგზავნა. აქ ყველაფერი მარტივია. Legitimate register() ამოწმებს ჩვენთვის მასივს სახელად jform, რომელშიც ჩვენ გადავცემთ სარეგისტრაციო მონაცემებს - სახელი, შესვლა, პაროლი, ელფოსტა (დივ. სკრინშოტი მძიმით).

• /components/com_users/controllers/registration.php: 124: // მიიღეთ მომხმარებლის მონაცემები. 125: $requestData = $this->input->post->get("jform", array(), "array");

ჩვენი კლიენტი იღებს ამ მონაცემებს მომხმარებლის სახელწოდებით მასივიდან.

• /components/com_users/controllers/user.php: 301: // მიიღეთ ფორმის მონაცემები. 302: $data = $this->input->post->get("user", array(), "array");

ამიტომ, თქვენ შეგიძლიათ შეცვალოთ ყველა პარამეტრის სახელი jfrom-დან მომხმარებელამდე.

ჩვენი მესამე ეტაპი არის CSRF მოქმედი ჟეტონის აღმოჩენა, ამიტომ ამის გარეშე რეგისტრაცია არ იქნება.

• /components/com_users/controllers/user.php: 296: JSession::checkToken("post") ან jexit(JText::_("JINVALID_TOKEN"));

ეს ჰგავს MD5 ჰეშს და შეგიძლიათ მიიღოთ ის, მაგალითად, ავტორიზაციის ფორმიდან საიტზე /index.php/component/users/?view=login.

ახლა თქვენ შეგიძლიათ შექმნათ koristuvachs მეშვეობით საჭირო მეთოდი. როგორც კი ყველაფერი მოგვარდება, მაშინ მე ვკვდები - თქვენ ფრთხილად იყენებდით დაღვრას CVE-2016-8870„ახალი ბუღალტერების რეგისტრაციის ნებართვების ყოველდღიური შემოწმება“.

ღერძი ასე გამოიყურება register() მუშა მეთოდში UsersControllerRegistration კონტროლერიდან:

• /components/com_users/controllers/registration.php: 113: // თუ რეგისტრაცია გამორთულია - გადამისამართება შესვლის გვერდზე. 114: if (JComponentHelper::getParams("com_users")->get("allowUserRegistration") == 0) 115: ( 116: $this->setRedirect(JRoute::_("index.php?option=com_users&view= შესვლა", ყალბი)); 117: 118: დაბრუნება ყალბი; 119: )

და ასე მოჩხუბართათვის:

• /components/com_users/controllers/user.php:

ჰო, არა.

იმისათვის, რომ დაგეხმაროთ ამ ძალიან სერიოზული პრობლემის გაგებაში, მოდით ჩამოვაყალიბოთ და უბრალოდ ავუხსნათ, თუ როგორ მუშაობს ის კოდის სხვადასხვა განყოფილებებზე. ნივთების ღერძი, რომელიც მიუთითებს მომხმარებლისთვის გაგზავნილი მონაცემების გადამოწმებაზე სამუშაო მეთოდით:

გაფართოება აღარ არის ხელმისაწვდომი მონაწილეებისთვის

ვარიანტი 1. გადადით "საიტზე" საიტზე არსებული ყველა მასალის წასაკითხად

საზოგადოებაში წევრობა განსაზღვრული ვადის განმავლობაში მოგცემთ წვდომას ჰაკერების ყველა მასალაზე, გაზრდით შემნახველ ანგარიშს და მოგცემთ დაგროვების საშუალებას პროფესიული რეიტინგი Xakep ქულა!

ჩვენ ვქმნით საბაჟო რეგისტრაციის გვერდს მრავალსაიტისთვის სტანდარტული wp-signup.php-ის ნაცვლად.

WordPress-ის სარეგისტრაციო ნაგულისხმევი გვერდისთვის (ავტორიზაცია, პაროლის აღდგენა) შეიყვანეთ ფაილი wp-login.php.

• /wp-login.php - ავტორიზაცია
• /wp-login.php?action=register - რეგისტრაცია
• /wp-login.php?action=lostpassword - დაკარგული პაროლი

მრავალსაიტისთვის, wp-login.php სრულიად განსხვავებულია. ასე რომ, როდესაც აპირებთ /wp-login.php?action=რეგისტრაციას WordPress მრავალსაიტზე, შექმენით გადამისამართება /wp-signup.php მხარეს. ბევრი თემისთვის მხარე არც თუ ისე მიმზიდველად გამოიყურება, ამიტომ ძალას ვკარგავ.

მერეჟას მთავარი საიტი

აქციების შემდეგ WordPress ხსნის რეგისტრაციის გვერდს (wp-signup.php) ქსელის მთავარ დომენზე (საიტზე). დაიცავით, თქვენ შეგიძლიათ შექმნათ გვერდიგვერდ რეგისტრაციის გვერდი კანის საიტისთვის, რადგან ისინი შეიძლება განსხვავდებოდეს ერთმანეთისგან. ჩვენ პრობლემად მიგვაჩნია, თუ ყველა ვებსაიტს აქვს საკუთარი სარეგისტრაციო გვერდი, მაგრამ ხდება იგივე თემის ვიკორიზაცია და ვებსაიტებს უფრო მეტად ეპყრობიან, ვიდრე ჩემსას. თუ იყენებთ სხვადასხვა თემებს, მოგიწევთ მეტი კოდის დაწერა.

functions.php?

არა. როგორც ჩანს, ამ ფაილში შეგიძლიათ გამოიცნოთ WordPress-ის შესახებ ნებისმიერი სტატიიდან. ჩვენი აზრით, იმის გაგებით, რომ რიგ საიტებზე სადაზღვევო პრეტენზიების დარეგისტრირების ფუნქციონალურია, შესაძლებელია მისი ჩართვა MU-პლაგინებში, რომელიც ჩართული იქნება ნებისმიერი საიტის შექმნაში.

ლირიული მიდგომა

მნიშვნელოვანია აღინიშნოს, რომ MU დანამატები გამოიყენება ორიგინალურ დანამატებამდე და სანამ WordPress-ის ბირთვი უფრო მნიშვნელოვანი გახდება, ამიტომ გარკვეული ფუნქციების გამოყენებამ შეიძლება გამოიწვიოს ფატალური პრობლემები PHP-თან დაკავშირებით. ამ სახის "ადრეულ" მოზიდვას აქვს თავისი უპირატესობები. ვთქვათ, საბოლოო ჯამში, თქვენ არ შეგიძლიათ ინერვიულოთ რაიმე ქმედებაზე, რომელიც უნდა გაკეთდეს მანამ, სანამ functions.php ფაილი მათთან ასოცირდება. ამის მაგალითი შეიძლება იყოს მოქმედებები Jetpack მოდულით jetpack_module_loaded_related-posts სახით (related-posts არის მოდულის სახელი), რომელიც დაგეხმარებათ აკონტროლოთ მოდულების აქტივობა Jetpack-ში. შეუძლებელია ქმედება „დაერთოს“ ფაილს მათთან ერთად, ასე რომ, თუ მოქმედება უკვე შექმნილია მათ მიერ შეძენის წინ, დანამატები უფრო ადრე იქნება შეძენილი. შეგიძლიათ გაოცდეთ WordPress საიტის მაგარი სურათით კოდექსის Action Reference გვერდზე.

ფაილის შეკვეთა

MU დანამატებს შეუძლიათ შეიტანონ ნებისმიერი რაოდენობის ფაილი ან ნებისმიერი სტრუქტურა, რომელიც თქვენთვის ლოგიკურია. მსურს მიახლოებით მივუდგე ამ იერარქიას:

|-mu-plugins |-|-load.php |-|-|-selena-network |-|-|-|-რეგისტრაცია |-|-|-|-|-plugin.php |-|-|-| -|-... |-|-|-|-jetpack |-|-|-|-|-plugin.php

ფაილი load.php მოიცავს ყველა საჭირო დანამატს ჩვენი ქსელისთვის:

// Load Translates ყველა დანამატისთვის load_muplugin_textdomain ("selena_network", "/selena-network/languages/"); // ქსელის რეგისტრაცია მოითხოვს WPMU_PLUGIN_DIR. "/selena-network/signup/plugin.php"; // სხვა დანამატები // საჭიროებს WPMU_PLUGIN_DIR ...

selena-network საქაღალდის შუაში არის დანამატის საქაღალდეები, თითოეულს აქვს თავისი plugin.php, რომელსაც ჩვენ ვაერთიანებთ load.php-ში. ეს იძლევა მოქნილობას და მეტყველების მოქმედებების სწრაფად ჩართვისა და გამორთვის უნარს.

რეგისტრაციის მხარის მისამართები

რეგისტრაციის გვერდის მისამართის შესაყვანად გამოიყენეთ wp_signup_location ფილტრი. თქვენ შეგიძლიათ იპოვოთ იგი wp-login.php ფაილის შუაში და ის თავად მიუთითებს გადამისამართებაზე wp-signup.php.

შემთხვევა "რეგისტრაცია" : if (is_multisite()) ( wp_redirect(apply_filters("wp_signup_location", network_site_url("wp-signup.php"))));

ჩემს ფუნქციას დავამატებ mu-plugins/selena-network/signup/plugin.php , რომელიც მისცემს სარეგისტრაციო გვერდის მისამართს ნაკადის საიტზე:

ფუნქცია selena_network_signup_page ($url) ( return home_url () . "/signup/"; ) add_filter ( "wp_signup_location", "selena_network_signup_page", 99);

selena_network - პრეფიქსი, რომელსაც ვიყენებ ყველა ფუნქციის სახელში ჩემს საიტზე არსებული MU-პლაგინების შუაში კონფლიქტის თავიდან ასაცილებლად, რომელიც უნდა შეიცვალოს თქვენი უნიკალური პრეფიქსით. დამატებული ფილტრის პრიორიტეტია 99, ასე რომ დანამატებმა, როგორიცაა bbPress და BuddyPress, შეუძლიათ გადაწერონ ეს მისამართი საკუთარ დომენში (MU დანამატები უფრო ადრე იზიდავენ, ქვედა პირველადი დანამატები, მით უმეტეს). გთხოვთ, გაითვალისწინოთ, რომ home_url() გამოიყენება network_site_url()-ის ნაცვლად იმავე დომენზე რეკლამის განმთავსებლის გასათიშად. მისამართის მსგავსად შეგიძლიათ vikoristovat be-yak URL მისამართი.

მხარის შექმნა

ახლა მოდით შევქმნათ გვერდი მისამართით site.com/signup/ მთავარი ინტერფეისის მეშვეობით და ჩვენს ქალიშვილს აქვს ჩვენი შაბლონი. ახალი ისტორიები- page-signup.php. სიტყვის რეგისტრაციის ნაცვლად, შეგიძლიათ გამოიყენოთ უნიკალური ID.

ახალი შაბლონის შუაში, რეგისტრაციის ფორმის საჩვენებლად უნდა გამორთოთ selena_network_signup_main() ფუნქცია.

გთხოვთ გაითვალისწინოთ, რომ შაბლონების გამოყენების მთელი პროცესი არ არის რთული და ამის ნაცვლად შეგიძლიათ შექმნათ თქვენი საკუთარი მოკლე კოდი, რომელიც ასევე შეიძლება გამოიყენოთ selena_network_signup_main() ფუნქციით.

wp-signup.php და wp-activate.php

ახლა გადავიდეთ შექმნის ფუნქციაზე, რომელიც არის რეგისტრაციის ფორმის ჩვენება. ამ მიზნით, ჩვენ ვაკოპირებთ ფაილებს wp-signup.php და wp-activate.php WordPress root-დან mu-plugings/selena-network/signup/ (და არ დაგავიწყდეთ მათი დაკავშირება შუა mu-plugins-ში/). selena-network/signup/plugin.php) . ფაილებთან შემდგომი მანიპულაციების აღწერა რთულია, ასე რომ თქვენ მოგიწევთ მათი გაკეთება. მე უბრალოდ აღვწერ რა გჭირდებათ თქვენი პროექტის გამომავალი ფაილების შესაქმნელად და გამოქვეყნებისთვის:

1. ფაილის ზედა ნაწილში წაშალეთ ყველა მოთხოვნა, დააწკაპუნეთ ფუნქციებზე და სხვა კოდსა და ფუნქციებზე.
2. გადაარქვით ყველა ფუნქცია სახელებს უნიკალური პრეფიქსების დამატებით.
3. wp-signup.php კოდის ქვედა ნაწილი გადაიტანეთ selena_network_signup_main ფუნქციაში და ჩაწერეთ გლობალური $active_signup; .
4. შეცვალეთ განლაგება ვლასნათი საჭირო ადგილებში.

wp-activate.php-ის შუაში თქვენ უნდა შექმნათ მსგავსი რამ:

1. წაშალეთ ყველა კოდი ფუნქციებით, გადაიტანეთ განლაგება ფუნქციის გარშემო.
2. შეცვალეთ განლაგება იმ ადგილებში, სადაც ეს აუცილებელია.

wp-activate.php ფაილი წარმოადგენს ღრუბლის ანგარიშის გააქტიურების გვერდს. რაც შეეხება რეგისტრაციის მხარეს, აუცილებელია თარგის შექმნა, რომლის შუაში დააწკაპუნეთ ფუნქციას wp-activate.php ფაილიდან.

აქტივაციის სია გადატვირთულია

რეგისტრაციის გვერდი აიძულებს მოთხოვნის ფორმის წარდგენას ღრუბლოვანი რეგისტრაციის გასააქტიურებლად. ამას ამუშავებს wpmu_signup_user_notification() ფუნქცია ms-functions.php ფაილიდან. თქვენ შეგიძლიათ მივანიჭოთ ეს ფუნქცია თქვენს საკუთარ ფუნქციას. მიზეზი, რის გამოც თქვენ უნდა იცოდეთ ეს ფუნქცია არის ის, რომ ის აგზავნის აქტივაციის შეტყობინებას ღრუბლოვან ანგარიშზე wp-activate.php-დან. თქვენ შეგიძლიათ „ჩართოთ“ ეს ფუნქცია დამატებითი ფილტრის wpmu_signup_user_notification-ის გამოყენებით, რომელიც დააბრუნებს false-ს (რადგან თქვენ ვერ შექმნით ერთს, აქტივაციის ფურცელი გაიგზავნება ორ, კარგი, რეალურად ორ სხვადასხვა ფურცელზე).

ფუნქცია armyofselenagomez_wpmu_signup_user_notification($user, $user_email, $key, $meta = array()) (// ... // ფუნქციის კოდი wpmu_signup_user_notification() wp_mail($user_email, wp_specialchars_return$s_ubsede;) "wpmu_signup_user_notification", "armyofselenagomez_wpmu_signup_user_notification", 10, 4);

შედეგად, სელენას თემაზე სარეგისტრაციო გვერდი ბევრად უფრო სუფთა და მოწესრიგებული გახდა.

ვისნოვოკი

ინტერნეტში არ არსებობს სხვა შეუსაბამო გზა ამის გასაკეთებლად - Apache გადამისამართებები, AJAX ფორმები, რომელთა დამუშავება შეუძლებელია. ჯავა სკრიპტიდა ა.შ. ეს ყველაფერი ჩემთვის საკმარისი არ იყო, ამიტომ ვცდილობდი მაქსიმალურად სწორად გამომემუშავებინა საიტზე.

ვაფასებ, რომ ფაილები ფრთხილად უნდა დაარედაქტიროთ და ძალიან შორს არ წახვიდეთ, რათა მომავალში, თუ WordPress შეცვლის ფაილებს wp-signup.php და wp-activate.php, მათთვის უფრო ადვილი იქნება თითოეულის შედარება. სხვა ცვლილებების საპოვნელად..

არ დაგავიწყდეთ გაოცება გამომავალი კოდიძირითადი ფუნქციების ყველა აღწერა ეფუძნება იმას, რაც მოსალოდნელია კოდის შუაში.

ბონუსი. დაიცავით სპამისგან

WordPress საიტების უმეტესობა ხშირად განიცდის სპამის რეგისტრაციას. თქვენ შეგიძლიათ დაწეროთ გაუთავებელი იდეები ბოტების გაფილტვრისთვის, რომლებიც ხშირად უფრო ჰგავს შექმნის მცდელობას ცალი ინტელექტი🙂 რადგან მულტისაიტი მაქვს, უკვე მჭირდებოდა ძირითადი გადამისამართება Apache-ში, დახმარებისთვის /wp-signup.php და /wp-acitvate.php შესვლისას ვთხოვე 404-ის ნახვა (მე არ ვარ Apache-ის ექსპერტი, ამიტომ ჩემი წესები შეიძლება არ იყოს საკმაოდ სწორი).

RewriteEngine On RewriteBase / RewriteRule ^wp-signup\.php - RewriteRule ^wp-activate\.php - # BEGIN WordPress # WordPress-ის წესები არ უნდა იყოს იგნორირებული :) # ... # END WordPress

პ.ს ვცდილობ რაც შეიძლება დეტალურად აღვწერო მესამე მხარის გამოსვლების ქმედებები, რადგან როცა დავიწყე, ბევრი გამოსვლის შემოთავაზება და ახსნა არავინ იყო. ასევე ვაფასებ, რომ სხვა მასალებზე ასეთი მცირე პუნქტები დაეხმარება ვინმეს ისწავლოს რაიმე ახალი და გააფართოოს ცოდნა. RewriteRule ჩანაწერები ვიკორიზებულია რეგულარული გამონათქვამები, სუნი სულაც არ არის რთული, მაგალითად, სიმბოლო ნიშნავს მწკრივის ყურს.

ერთჯერადი წარდგენები შეიძლება გამოყენებულ იქნას სხვადასხვა სიტუაციებში: ფაილზე ან გვერდზე მყისიერი წვდომის უზრუნველსაყოფად, ან რეგისტრაციის დასადასტურებლად. ეს გაკვეთილი გაჩვენებთ, თუ როგორ შექმნათ და დანერგოთ ერთჯერადი URL-ები.

URL-ის შექმნა

მისაღებია, რომ ჩვენს ვებ-გვერდზე გვაქვს კლიენტების ავთენტიფიკაციის სისტემა. რეგისტრაციის შემდეგ მომხმარებელს ვთხოვთ გაიაროს ელექტრონული ფოსტის გადამოწმების პროცედურა. მსგავსი გეგმების შესაქმნელად, შეგვიძლია დავაჩქაროთ სპეციალური პარამეტრინიშანი. მსგავსი რამის მაგალითი:

Http://example.com/activate?token=ee97780...

ჩვენ არ შეგვიძლია ამის გაკეთება მონაცემთა ბაზის გარეშე, ასე რომ, მოდით გადავხედოთ ცხრილს, თუ რა ღირს.

CREATE TABLE pending_users (token CHAR(40) NOT NULL, მომხმარებლის სახელი VARCHAR(45) NOT NULL, tstamp INTEGER Unsigned NOT NULL, PRIMARY KEY(token));

ცხრილი ინახავს 3 ველს: ჟეტონს, ანგარიშის სახელს და საათს. ტოკენის გენერირებისთვის ვიყენებთ სწრაფ ფუნქციას sha1(), რომელიც არის 40 სიმბოლოსგან შემდგარი მწკრივი. tstamp ველი დაზოგავს ჟეტონების გენერირების საათს, რათა ჩვენ შეგვიძლია გამოვაქვეყნოთ შეტყობინებები გასული ვადით.

არ არსებობს ტოკენის გენერირების გზები, მაგრამ ეს გაკვეთილი სწრაფად ისწავლება uniqid() და sha1() ფუნქციების გამოყენებით. ტოკენის გენერირების მეთოდის მიუხედავად, დარწმუნდით, რომ გენერირებული მნიშვნელობები განსხვავებული იქნება და დუბლიკატების გამოჩენის ალბათობა მინიმალურია.

$token = sha1(uniqid($username, true));

uniqid() ფუნქცია იღებს სტრიქონს პარამეტრად და გამოსავალად იძლევა უნიკალურ იდენტიფიკატორს, რომელიც დაფუძნებულია გავლილ არგუმენტზე და ნაკადის საათზე. ასევე, როგორც კიდევ ერთი არგუმენტი, ეს ფუნქცია ადიდებს ლოგიკურ მნიშვნელობას, რათა სიგნალი გაუწიოს uniqid-ს, დაამატოს დამატებითი სიმბოლოები, რათა გაზარდოს მნიშვნელობის უნიკალურობის დარწმუნება. sha1 ფუნქცია იღებს უნიკალურ იდენტიფიკატორს და ქმნის ჰეშს.

ამ ორ ფუნქციასთან მუშაობის შემდეგ, ჩვენ გვაქვს უნიკალური ჟეტონი, რომელიც შეიძლება გამოყენებულ იქნას URL მისამართის გენერირებისთვის. ახლა ჩვენ უნდა მივიყვანოთ ის ბაზაზე:

$query = $db->prepare("INSERT INTO pending_users (username, token, tstamp) VALUES (?, ?, ?)"); $query->execute(მაივი ($username, $token, $_SERVER["REQUEST_TIME"])));

იმისათვის, რომ ვიცოდეთ რომელი ბუღალტერი გავააქტიუროთ, ბუღალტერის შესვლას ვაფიქსირებთ ცხრილში. მაგალითში, რომელიც უფრო ადაპტირებულია რეალური საიტისთვის, შეგიძლიათ სწრაფად მიიღოთ ანგარიშის ID.

ახლა, თუ ჩვენ გვაქვს ყველა საჭირო ინფორმაცია, შეგვიძლია შევქმნათ დროული URL:

$url = "http://example.com/activate.php?token=$token";

$message =<<

ხელახალი შემოწმება

ახლა ჩვენ გვჭირდება სკრიპტი, რომელიც უნდა გადავამოწმოთ. ყველაფერი რაც ჩვენ უნდა გავაკეთოთ არის ტოკენის შესატყვისი URL მისამართიდან და ჟეტონი ბაზიდან. თუ ასეა, ერთი საათიც არ გასულა სიცოცხლე, მაშინ ყველაფერი რიგზეა.

// მოსახსნელი ჟეტონი if (isset($_GET["token"]) && preg_match("/^(40)$/i", $_GET["token"])) ($token = $_GET["token"] ; ) else ( throw new Exception("token is not valid."); ) // ჟეტონის შემოწმება $query = $db->prepare("SELECT მომხმარებლის სახელი, tstamp FROM pending_users WHERE token =?"); $query->შესრულება(მასივი($token)); $row = $query->fetch(PDO::FETCH_ASSOC); $query->closeCursor(); if ($row) (extract($row); ) else (writing new Exception("token is not valid."); ) // კლიენტის ანგარიშის გააქტიურება // ... // ტოკენის ამოღება ბაზიდან $ query = $db- >prepare("DELETE FROM pending_users WHERE username = ? AND token = ? AND tstamp = ?",); $query->execute(მაივი ($username, $token, $tstamp));

ჩვენ ასევე უნდა გადავამოწმოთ ნიშნები ისე, რომ ცხოვრება წარსულია.

// 1 დღე წამში = 60 წამი * 60 საათი * 24 წელი $დელტა = 86400; // შებრუნება, თუ ($_SERVER["REQUEST_TIME"] - $tstamp > $delta) ( გადაყარეთ ახალი გამონაკლისი ("ჟეტონის სიცოცხლე გავიდა."); ) // ანგარიშის მფლობელის ანგარიშის ჩანაწერის გააქტიურება // ...

ამრიგად, ჩვენ გვექნება ორი შემოწმება: ერთი ჟეტონის მოქმედების, მეორე მისი ვადის გასვლის საათისთვის.

Ჩანთა

ამ მეთოდის გამოყენება შესაძლებელია მხოლოდ გააქტიურებისთვის ღრუბლოვანი ჩანაწერები koristuvachiv და სხვა საჭიროებისთვის: მაგალითად, ერთჯერადი ან საათობრივი წვდომის უზრუნველყოფა ნებისმიერ რესურსზე ან სერვისზე.

მანამდე შეგიძლიათ შექმნათ სკრიპტი, რომელიც აქამდე არასდროს გამოგიყენებიათ. ეს სკრიპტი შეიძლება გაშვებული იყოს იმავე ინოდზე, ან შეიძლება მიენიჭოს სხვის კრონს.