帝国CMS默认使用的是MD5加密方式对用户密码进行存储,虽然MD5在早期较为常见,但随着安全要求提升,其安全性已显不足。为了增强系统安全性,可以修改帝国CMS的密码加密方式,比如改用更安全的哈希算法如password_hash()(基于bcrypt)等。以下是具体修改方法。
1. 修改密码加密和验证逻辑
帝国CMS的用户登录和注册功能主要集中在以下几个文件中:
e/class/connect.php:包含加密函数 e/member/class/member_login.php:会员登录处理 e/admin/member/EditMember.php:后台添加/编辑会员
你需要统一修改密码的加密与验证流程。
步骤:
打开 e/class/connect.php 文件,找到类似以下函数:
function md5password($password) { return md5($password);}
将其替换为更强的加密方式,例如:
function hashPassword($password) { return password_hash($password, PASSWORD_DEFAULT);}function verifyPassword($password, $hash) { return password_verify($password, $hash);}
2. 修改会员注册时的密码加密
打开 e/member/class/member_register.php 文件,找到注册时保存密码的位置,通常类似:
$ecms_config[‘member’][‘pwlen’] // 密码长度校验后$sql = $empire->query("INSERT INTO ".eReturnMemberTable()." (username, password, email…) VALUES (‘$username’, ‘".md5($password)."’, ‘$email’…);");
将 md5($password) 替换为新函数:
‘".hashPassword($password)."’
确保插入数据库的是新哈希值。
3. 修改登录时的密码验证方式
打开 e/member/class/member_login.php 文件,找到验证密码的部分,原始代码可能是:
if($r[‘password’] == md5($password)) { … }
替换为:
if(verifyPassword($password, $r[‘password’])) { // 登录成功} else { // 验证失败}
这样就能兼容新的哈希格式。
4. 后台管理员密码处理
后台管理员密码位于 e/admin/member/EditMember.php 和登录验证文件中。同样需要查找 md5() 使用位置,并按上述方式替换。
注意:如果已有管理员账户,修改后首次登录需通过旧MD5匹配,可在此处做兼容判断:
if (strlen($r[‘password’]) == 32) { // 老密码是MD5 if (md5($password) === $r[‘password’]) { // 验证成功,立即更新为新哈希 $newHash = hashPassword($password); $empire->query("UPDATE {$dbtbpre}enewsmember SET password=’$newHash’ WHERE userid=".$r[‘userid’]); }} else { // 新哈希格式 if (verifyPassword($password, $r[‘password’])) { // 成功 }}
5. 数据库字段调整(可选)
MD5加密后字符串长度为32位,而 password_hash() 生成的哈希值长度约为60字符,建议将数据库中的 password 字段类型改为 VARCHAR(255),避免截断。
执行SQL:
ALTER TABLE `enewsmember` CHANGE `password` `password` VARCHAR(255) NOT NULL;
同时修改后台或其他相关数据表(如管理员表 phome_enewsadmin)。
基本上就这些。修改后建议全面测试注册、登录、后台管理等功能,确保无兼容问题。虽然过程不复杂,但涉及核心安全逻辑,操作前务必备份数据库和文件。
评论(0)