dedecms的cookie设置特别有意思,我们通常都是直接重写cookie。最多也就是用key/val的键/值对的形式来做。但是我们看dede,不但重写了cookie的写如,读取,删除,而且还对cookie做了必要的验证。
首先我们看dedecms的cookie写入。
function PutCookie($key, $value, $kptime=0, $pa="/")
{
global $cfg_cookie_encode,$cfg_domain_cookie;
setcookie($key, $value, time()+$kptime, $pa,$cfg_domain_cookie);
setcookie($key.'__ckMd5', substr(md5($cfg_cookie_encode.$value),0,16), time()+$kptime, $pa,$cfg_domain_cookie);
}
有一个$key是用来记录$key的值。一个是$key和一段字符组成的串,通过md5之后截取部分,作为验证标记,之所以要做这个验证,是为了方式cookie被伪造而泄露数据。他是通过该cookie要记录的值和一个密钥来组成的。
然后看dedecms的cookie读出。
function GetCookie($key)
{
global $cfg_cookie_encode;
if( !isset($_COOKIE[$key]) || !isset($_COOKIE[$key.'__ckMd5']) )
{
return '';
}
else
{
if($_COOKIE[$key.'__ckMd5']!=substr(md5($cfg_cookie_encode.$_COOKIE[$key]),0,16))
{
return '';
}
else
{
return $_COOKIE[$key];
}
}
}
首先他要判断该值是否存在,然后要验证数据的合法性。同样用该值和密钥做计算,计算出来的数据和$key_"ckMd5"做比较。如果趁工,才能返回该cookie里面的值,否则就为空,读dedecms的cookie为非法操作。
来源:http://www.chinab4c.com