【www.bbyears.com--php安全】
其实就是在后台登录界面添加个表单验证而已。管理认证,应该知道吧。动易、帝国的那种,本地字符验证,而不是数据库验证,所以SQL查询不了。入侵时碰到这种登录最纠结,最无奈的。
首先看看,我们要改的是这2个文件/(后台路径)/templets/login.htm 这是后台登录界面,/(后台路径)/login.php 登录消息的处理文件。
----0x1
我们先来改login.htm文件,可能大家的模板不一样,不过自己改改吧。
这是验证表单是否为空的代码,可以直接放在HTML里,也可以link到JS文件里。
</script>
----0x2
这是我的form框架和input提交。其实那个认证码的input 直接复制 用户名的 input或密码 的input就可以。改下name名就可以了!
=====================================
然后就是提交验证(/login.php)了!代码第50行就有注释 //登录检测 。。我们把验证内嵌在
$res = $cuserLogin->checkUser($userid, $pwd);
//success
if ($res == 1) {
里,如下。
if (!empty($userid) && !empty($pwd)) {
$res = $cuserLogin->checkUser($userid, $pwd);
//success
if ($res == 1) { //嵌套到这里面!
$uservacodes = $_POST["vacodes"]; //取出vacodes内容放入另一个变量
if ($uservacodes != "认证码自定义") { //自行修改认证码自定义内容!
ResetVdValue();
ShowMsg("认证码不正确!", "login.php", 0, 1000); //不等于跑这里
die; www.111cn.net
} else { //等于就跑这里
$cuserLogin->keepUser();
if (!empty($gotopage)) {
ShowMsg("成功登录,正在转向管理管理主页!", $gotopage);
die;
} else {
$uservacodes = $_POST["vacodes"];
ShowMsg("成功登录,正在转向管理管理主页!", "index.php");
die;
}
}
解释:先验证图片验证码,在验证用户名,在验证密码,最后验证认证码,以免认证码被爆破。
注意:if的块语句{}一定要对应。不然会出错,可以用Notepad++来修改!
Ps:也可以把认证码比较那里设置成变量,链接到包含的文件里!比如config文件,自己操作吧。个人博客我就不讲究互动性了!其他的网站源码也大同小异,找到登录界面和提交页面,修改之即可。
