密码找回邮件重复有效的解决办法,让它验证一次就失效。噢耶!

2016-07-07 15:02 来源:www.chinab4c.com 作者:ecshop专家



2.7.2程序的一个小缺点:找回密码的url竟然是永远生效的,需要改成只能使用一次,否则账号被盗后执行一次邮件找回密码,那这个账户就永远翻不了身了。
-------------------------------------------分割线-----------------------
修改非常简单:
1、在user.php-715行、user.php-599行、user.php-758行,将:
md5($user_info['user_id'] . $_CFG['hash_code'] . $user_info['reg_time']) == $code)
改为:
md5($user_info['user_id'] . $_CFG['hash_code'] . $user_info['reg_time'] . $user_info['password']) == $code)
2、更新缓存自己验证一下吧。O(∩_∩)O~

回答:


说明格式示例:
user.php-689行:指的是user.php文件的689行

就是在制造code的时候,把原来的三个原料变成了四个,加了一个“老密码”,然后再进行md5。这样修改密码之后code就变了(修改的密码和原来的密码不同,如果相同就没必要执行找回密码操作了),那修改密码之前的邮件地址也就失效了。并且不进行密码修改,邮件不会失效,一旦修改了密码,原来的密码找回邮件立即失效。噢耶!