Use discuz's encryption function authcode to prevent ticket fraud

Home

Backend Development

PHP Tutorial

Use discuz's encryption function authcode to prevent ticket fraud_PHP tutorial

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 13, 2016 am 10:33 AM

discuzencrypt and decode

I recently conducted a poll and needed to take measures to prevent vote fraud. But it is difficult to prevent ticket fraud, after all, there are many ways to do it. In order to prevent ticket fraud to the greatest extent, this method was used.

First define a string 'www.bkjia.com' on the front page, and then use discuz's authcode function to generate a string of ciphertext. This string of ciphertext is different every time, for example,

will be generated

10884NwIMCg5nDZ24rarNv+nBpsWut6ReT1grxHH4oKSdvgPmXJ0z2jEuePCe
a8b4XU3yBHEec48KirVf0N3VAXKIQHm1qvwvpCYUu6ywwQJLR0ErlI1zwfG7tQ

But after decoding in the background, the plaintext of the reply will eventually change back to 'www.bkjia.com'. Using this, we can judge on the server side. If the returned ciphertext is not that string after decoding, voting will not be possible. .

discuz’s authcode function can be said to have made a significant contribution to the PHP community in China. Including Kangsheng's own products, as well as most Chinese companies using PHP, use this function for encryption. Authcode uses XOR operations for encryption and decryption.

The principle is as follows, if:

Encryption

Plain text: 1010 1001
Key: 1110 0011
Cryptotext: 0100 1010

The ciphertext is 0100 1010. To decrypt it, just XOR it with the key

Decryption

Cryptotext: 0100 1010
Key: 1110 0011
Clear text: 1010 1001

There is no sophisticated algorithm, the key is very important, so the key lies in how to generate the key. Then let’s take a look at how Kangsheng’s authcode is done:

<?php
// 参数解释
// $string： 明文 或 密文
// $operation：DECODE表示解密,其它表示加密
// $key： 密匙
// $expiry：密文有效期
function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
    // 动态密匙长度，相同的明文会生成不同密文就是依靠动态密匙
    // 加入随机密钥，可以令密文无任何规律，即便是原文和密钥完全相同，加密结果也会每次不同，增大破解难度。
    // 取值越大，密文变动规律越大，密文变化 = 16 的 $ckey_length 次方
    // 当此值为 0 时，则不产生随机密钥
    $ckey_length = 4;
 
    // 密匙
    $key = md5($key ? $key : $GLOBALS['discuz_auth_key']);
 
    // 密匙a会参与加解密
    $keya = md5(substr($key, 0, 16));
    // 密匙b会用来做数据完整性验证
    $keyb = md5(substr($key, 16, 16));
    // 密匙c用于变化生成的密文
    $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
    // 参与运算的密匙
    $cryptkey = $keya.md5($keya.$keyc);
    $key_length = strlen($cryptkey);
    // 明文，前10位用来保存时间戳，解密时验证数据有效性，10到26位用来保存$keyb(密匙b)，解密时会通过这个密匙验证数据完整性
    // 如果是解码的话，会从第$ckey_length位开始，因为密文前$ckey_length位保存 动态密匙，以保证解密正确
    $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('0d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
    $string_length = strlen($string);
    $result = '';
    $box = range(0, 255);
    $rndkey = array();
    // 产生密匙簿
    for($i = 0; $i <= 255; $i++) {
        $rndkey[$i] = ord($cryptkey[$i % $key_length]);
    }
    // 用固定的算法，打乱密匙簿，增加随机性，好像很复杂，实际上并不会增加密文的强度
    for($j = $i = 0; $i < 256; $i++) {
        $j = ($j + $box[$i] + $rndkey[$i]) % 256;
        $tmp = $box[$i];
        $box[$i] = $box[$j];
        $box[$j] = $tmp;
    }
    // 核心加解密部分
    for($a = $j = $i = 0; $i < $string_length; $i++) {
        $a = ($a + 1) % 256;
        $j = ($j + $box[$a]) % 256;
        $tmp = $box[$a];
        $box[$a] = $box[$j];
        $box[$j] = $tmp;
        // 从密匙簿得出密匙进行异或，再转成字符
        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
    }
    if($operation == 'DECODE') {
        // substr($result, 0, 10) == 0 验证数据有效性
        // substr($result, 0, 10) - time() > 0 验证数据有效性
        // substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16) 验证数据完整性
        // 验证数据有效性，请看未加密明文的格式
        if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
            return substr($result, 26);
        } else {
            return '';
        }
    } else {
        // 把动态密匙保存在密文里，这也是为什么同样的明文，生产不同密文后能解密的原因
        // 因为加密后的密文可能是一些特殊字符，复制过程可能会丢失，所以用base64编码
        return $keyc.str_replace('=', '', base64_encode($result));
    }
}

// 加密
echo authcode("www.bkjia.com", 'ENCODE');
// 解密
echo authcode(authcode("www.bkjia.com", 'ENCODE'));
//echo authcode("55e5OxJ5zjgFuqTjFRPdt9ag+fC+GKP9Efq6yWeAAvdQFq+D");
?>

Statement

The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn

discuz database error怎么解决Nov 20, 2023 am 10:10 AM

discuz database error的解决办法有：1、检查数据库配置；2、确保数据库服务器正在运行；3、检查数据库表状态；4、备份数据；5、清理缓存；6、重新安装Discuz；7、检查服务器资源；8、联系Discuz官方支持。解决Discuz数据库错误需要从多个方面入手，逐步排查问题原因，并采取相应的措施进行修复。

怎么去掉discuz版权Feb 24, 2023 am 09:15 AM

去掉discuz版权的方法：1、找到并打开“header_common.htm”文件，删掉“Powered by Discuz!”内容；2、找到并打开“footer.htm”文件，删掉“Powered by ME”内容即可。

discuz是什么意思Aug 23, 2023 am 10:27 AM

Discuz是一个功能强大的开源论坛软件，可以帮助用户快速搭建和管理一个社区论坛，提供了一套完整的论坛系统解决方案，Discuz是由名为Comsenz的中国公司开发和维护的，并且在全球范围内广泛使用。Discuz还有一个庞大的用户社区，可以提供技术支持和经验分享。

discuz论坛是什么Jul 10, 2023 am 11:03 AM

discuz论坛是一种网络论坛软件，也称BBS，它是一种用于在互联网上建立论坛社区的程序系统。只哟中功能强大的论坛软件，可以帮助用户建立一个专业、完善的论坛社区，并且可以实现多种功能，如搭建用户注册、登录、查看主题、发布帖子、发表评论、设置版主等功能，让用户可以轻松地进行论坛社区的管理和维护。

什么是discuzAug 23, 2023 am 10:24 AM

discuz是一种功能强大、灵活性高、安全稳定的开源论坛软件，是一个基于PHP和MySQL的在线社区平台，提供了一个完整的论坛系统，包括帖子、主题、用户管理、权限控制等功能。Discuz还具备良好的用户体验和界面设计，以及庞大的开发者社区，可以为用户提供帮助和支持。

discuz如何修改头像Aug 08, 2023 pm 03:53 PM

discuz修改头像的方法：1、登录Discuz后台，在网站根目录下找到“admin.php”或者“admin”目录并登录；2、进入用户管理，可以在左侧或者顶部的导航菜单中找到并点击进入；3、搜索用户，使用搜索功能来找到特定的用户；4、修改头像，在编辑页面，可以找到头像的选项并上传新的头像；5、保存修改；6、刷新页面即可。

discuz登录失败怎么解决Aug 03, 2023 pm 02:09 PM

discuz登录失败解决方法：1、仔细检查输入的用户名和密码是否正确，并尝试重置密码；2、确保浏览器允许使用Cookie，并将Discuz网站添加到信任的网站列表中；3、通过论坛首页上的“联系我们”或“举报”链接找到管理员的联系方式并解决；4、查看服务器日志来确定是否存在配置问题。

discuz附件在哪Aug 08, 2023 pm 02:08 PM

discuz附件在网站的根目录下，其路径类似于"/home/wwwroot/forum/data/attachment"，在这个目录下，每个附件都会有一个唯一的文件名，以确保文件的唯一性和安全性，附件通常是用户在帖子或私信中上传的文件，例如图片、音频或文档，附件的上传和管理是论坛功能的重要组成部分，使用户能够分享和交流各种类型的内容。

See all articles